[Regby]

Кто встречался с подобным явлением?
интересный вирусоид надо признать
в корневых каталогах диска создает файл xpbkh.com
и autoran.inf (c inf-a запускает com). Так вот в windows\system32
создает 2 файлика
amvo.exe (процесс при старте системы)
amvo.dll

вот что выдает про него сервис virustotal (см приложеный файл)

На моем компьютере стот NOD 32
Тем не менее... несмотря на то что данный анализ показывает что этот антивирус обнаруживает вируса, мой его не находит. Я подозреваю что компьютер заражен. Но не могу найти никаких действий вируса. т.е. как.. все работает все в норме посторонних процессов не наблюдается, но антивирус упорно не находит заразу. Возможно это потому что антивирус обновлялся на уже зараженном компьютере.

А вопрос тут следующий - что можно сделать? И почему NOD32 не определяет заразу, хоть и должен? Вариант с форматированием диска не предлагать. Касперсокого и Оутпоста то же. То что вирус можно удалить воткнув винт в другой комп с другим антивирусом я знаю и без этого. Вообще хотелось бы услышать мнение хорошего специалиста в принципах работы системы. Поймите мое недоумение но я первый раз столкнулся с тем что NOD32 спасовал перед заразой (хоть и анализ показывает что он с ней умеет бороться).

Спасибо за советы.

[Солидворкер]

Я сталкивался.
НОД его прекрасно видит

[OxYGeN]

в безопасном режиме попробуй просканировать.

[asys]

нод его видит с базами больше 2800 с чем-то. Купили лицензию и пока я базы не обновил - не мог его вывести. Через флешки эта дрянь по машинам гуляет

[Regby]

у меня базы 2888 (от 2008.02.20) обновлться не хотят. То ли я что то делаю неправильно, то ли NOD глючит? то ли поработал вирус.

[Аshаs-ка]

Касперыч бьет влет. Нод... ладно, не буду ругаться. Травить моно и ручками. В списке процессов убиваем все подозрительное, трем файлы. Проверяем ран и ран ванс...

[Комбинатор]

Заходите например из под Far-а в system32 и сносите скрытый файл
amvo.exe, далее проверяете все жёсткие диски на наличае autoran.inf и др. скрытой дряни всё сносите...
Далее заходите в реестр: выполнить/regedit/правка/найти/amvo
сносите все записи реестра.
Потом перезагружаетесь и сносите в system32 amvo.dll
Далее набираете выполнить:
regsvr32 /i shell32.dll
Должно сработать ...

[Regby]

Цитата:

Сообщение от Комбинатор Заходите например из под Far-а в system32 и сносите скрытый файл amvo.exe, далее проверяете все жёсткие диски на наличае autoran.inf и др. скрытой дряни всё сносите... Далее заходите в реестр: выполнить/regedit/правка/найти/amvo сносите все записи реестра. Потом перезагружаетесь и сносите в system32 amvo.dll Далее набираете выполнить: regsvr32 /i shell32.dll Должно сработать ...

Огромное спасибо. А что а команда "regsvr32 /i shell32.dll" для чего она?

[Комбинатор]

Дело в том, что Ваш вирус запрещает просмотр скрытых файлов т.к. сам является скрытым. И даже после удаления вируса такой запрет остаётся, а данная команда прочистит dll файлы и снимит этот запрет.

[asys]

Цитата:

Сообщение от Комбинатор Дело в том, что Ваш вирус запрещает просмотр скрытых файлов т.к. сам является скрытым. И даже после удаления вируса такой запрет остаётся, а данная команда прочистит dll файлы и снимит этот запрет.

вот в чем фигня, а я думаю чего-то не включаются скрытые папки, хотя и зверье все вычистил. Спасибо

[Regby]

А кто знает с чем связано то что компания ESET выпустила новую версию NOD32 (3 и выше), при этом продолжает существовать NOD32 версии до 3 (например 2.7, 2.4 итд) и при этом же у двух этих программ разные базы данных т.о. базы от "старого" NOD32 (условно его так назовем) не ставяться на "новый" и наоборот... имеено вот этот "новый" NOD и оказался неспособен противостоять xpbkh.com, а старый приекрасно его отлавливает...

[Bull]

У меня такое ощущение, что новый NOD копирует работу Касперского. Особенно в части тормозов. Его вот установили у нас админы. И мой рабочий пенёк 3 ГГц с оперативой в 1 Гиг и видео 7300 GT работает хуже (медленнее), чем домашний AMD 2500+ с памятью 512Мб и видео 128Мб GF Ti4200, но без антивирей. Это при одних и тех же прогах и системе.

ЗЫ Хотя замечу, что всё равно чувствуется, что лучше, чем если бы Каспер стоял (в самом начале работы компа он был установлен).

[Profan]

А некоторые терпеть не могут FAR.

[Bull]

Это ты насчёт того, что про Каспера сказал? Так это по своему опыту. Чистая практика безотносительно теории их работы с системой.

[Profan]

Да нет, вообще. В FAR'е видно все, даже если в проводнике ни хрена не видно.

[Кулик Алексей aka kpblc]

Кхе, в TC тоже можно настроить что будет видно все. И Explorer, кстати, тоже.

[Солидворкер]

Цитата:

Сообщение от Кулик Алексей aka kpblc И Explorer, кстати, тоже.

В том то и дело, что вирус изменяет ветки реестра, которые отвечают за видимость файлов в Эхплоере.

[Кулик Алексей aka kpblc]

Нда, привык я, что у меня вирусы отлавливаются... Сорри.

[Bull]

Цитата:

Сообщение от Кулик Алексей aka kpblc Кхе, в TC тоже можно настроить что будет видно все. И Explorer, кстати, тоже.

Если "зараза" изменяет видимость скрытых в проводнике через реестр, то в TC этого не происходит. Так что, пользуйтесь ТС. Или я не прав?

PS Кстати, я иногда ловлю себя на мысли, что забываю "поведение" в проводнике. Так, в основном, ТС пользуюсь.

[Profan]

TC тоже хорошая вещь. Просто я, например, привык к файловым менеджерам типа DOS Navigator.

[Abzorbo]

Вот, нарыл прогу-перехватчик файлов типа autorun.inf и иже с ним.
У меня стоит, успешно справляется с вирусяками на флешках.

[Кочетков Андрей]

Никогда нельзя запускать программу, предложенную ауторан.инф
И вообще полезно отключить эту функцию.

[asys]

Цитата:

Сообщение от Кочетков Андрей Никогда нельзя запускать программу, предложенную ауторан.инф И вообще полезно отключить эту функцию.

это еще в эпоху дискеток и CD-юков было известно

[Кочетков Андрей]

ну да
только не всем как видно ))

[Abzorbo]

Дело в том, что автозапуск не всегда полезно иметь по умолчанию отключенным. Некоторые программы запускают свою оболочку через авторан, что очень удобно. Так что я предпочитаю всё же его иметь включенным.

[Кулик Алексей aka kpblc]

В таком случае autorun.inf открывается блокнотом и смотрится его содержимое.

[asys]

еще авторан при вставке диска можно незапустить, если держать левый shift во время определения-раскрутки дисководом диска

[Кочетков Андрей]

А вот это я не знал, ибо он у меня отключен постоянно.
Спасибо )

[Серёга - Bilder]

Цитата:

Сообщение от Asys ещ авторан при вставке диска можно незапустить, если держать левый shift во время определения-раскрутки дисководом диска

а от автозапуска флэшки это помогает?

[asys]

помогает Главное потом не щелкнуть два раза по флехе. Авторан запускается с двойного клика по диску или флехе

[Серёга - Bilder]

интересная фенька. Спасибо, буду знать!

[asys]

эта фенька известна с эпохи дискеток и CD-юков . Сразу видно что народ не баловался в те времена записью всяких западляцких и шуточных программок в автозапуск болванки. Я любил прогу открывающуу лоток сидюка записывать. жертва диск суюет - а он обратно и так пока не отпадет желание шарится по чужим записям

[Regby]

Asys, страшный вы человек

[Серёга - Bilder]

Asys, шутник!!!
Слушай, а вируса который флэшки из USB-порта выплёвывает у тебя не завалялось? - был бы хит сезона!

[Кочетков Андрей]

Гы

[asys]

Цитата:

Сообщение от Серёга - Bilder Asys, шутник!!! Слушай, а вируса который флэшки из USB-порта выплёвывает у тебя не завалялось? - был бы хит сезона!

надо подумать