KasperKey 2010 ехе ? ВИРУС ?

[JoNNY_K]

на флешке у знакомых подцепилась такая хрень без предупреждения /KasperKey 2010 ехе / и себя тиражирует как хочет в разные папки. Антивирусник его не видит ( нод32 просто) со всеми последними сигнатурами.
Что делать с ним , товарищи ?
Убить его никак не могу . Без спросу перескакивает на другие флешки хотя на другой машине с файрволом( нод32 смарт секьюрити )не перескакивает. инфы в интернете по этой хрени я не нашёл.
Думаю что это вирус ,но как его убить ?
Помогите пожалуста , товарищи , я в тупике !

[Stick_ch]

Цитата:

Сообщение от JoNNY_K

KasperKey 2010 ехе

Это точное название или приблизительное?? можно название файла который тиражируется с точностью до пробела.

[JoNNY_K]

это точно точно выглядит так . и на компах ещё трёх кроме моего.(смарт секьюрити у меня )

[Stick_ch]

Почитай вот здесь: http://otvet.mail.ru/question/35942610/
И еще поставь себе на флеху USB Vaccine

[JoNNY_K]

Stick_ch,
Огромное Вам спасибо за инфу.

[Stick_ch]

Если поможет отпишись что и как делал.

[JoNNY_K]

антишпион на тех машинах поставить не удасться по причине сложности СИСТЭМЫЖЫЗНИ моего заведения. Сисадмины штатные, редкие гости в нашей конторе по причине удалённости офисов между собой. Приедут только при больших проблемах типа пожар.(корпоративная сеть + девочки "блондинки"всё новое их пугает и я не имею права лезть в их програмное обеспечение )
Вопрос был в том что оПасно или не оПАсно это KasperKey2010.

[Stick_ch]

USB Vaccine это не антишпиён, это такая прога которая на флеху записывает файл AUTORUN.INF со спец атрибутами. Так что вирус не может автоматом запустится с флехи, только руками.

[FRANK HORRIGAN]

А что эта тема делает в разделе Unix?

[Jaged2]

Каспер решил побороть *никсы

[Den]

Отправил тему в "Техподдержку".

[Teddybear]

Похоже, тоже подловил эту штуку.. На все съемные носители прописывает KasperKey 2010.exe. нО это еще не все.. Эта хрень блокирует доступ на сайт ДрВеба, и не дает скачать AVZ и avast. Из-под линуха всекачается норм.. Сканирование CureIt-ом результатов не дало.

[Ксандра_Mishel]

Teddybear, нужно грузиться с загрузочного и с него проверять систему. Т.к. эта хрень очень хорошо обрубает различные антивирусные программы.
Очень хорошо убиваться утилитой CureIT с загрузочного диска

[Spectator]

Цитата:

Сообщение от JoNNY_K

на флешке у знакомых подцепилась такая хрень без предупреждения /KasperKey 2010 ехе / и себя тиражирует как хочет в разные папки. Антивирусник его не видит ( нод32 просто) со всеми последними сигнатурами.
Что делать с ним , товарищи ?
Убить его никак не могу . Без спросу перескакивает на другие флешки хотя на другой машине с файрволом( нод32 смарт секьюрити )не перескакивает. инфы в интернете по этой хрени я не нашёл.
Думаю что это вирус ,но как его убить ?
Помогите пожалуста , товарищи , я в тупике !

Грузимся в безопасном режиме. Ищем все файлы *.EXE c датой создания за последние 100 дней, к примеру. Удаляем все что кажется подозрительным. Перегружаемся. После качаем последнюю версию антивируса и вычищаем остатки.
Флешки надо очистить, безусловно.

[Teddybear]

Цитата:

Сообщение от Ксандра_Mishel

нужно грузиться с загрузочного и с него проверять систему

А Вы думаете я как делал?
Кстати, нашел файлик smss.exe, находившийся в папке RECYCLER корня раздела С, который подменял собой системный процесс с одноименным названием. Также в этой папке лежал некий скрипт на VB, а на флехе прописывался также файл md.exe. Вытравил всю хню руками.. Теперь при загрузке вываливается сообщение, что не найден файл smss.exe в папке RECYCLER. Просмотр содержимого автозагрузки через msconfig не выявил ничего подозрительного.. Но левые файлы на флешку уже не пишутся, это радует.

[Oleg R]

Цитата:

Сообщение от Teddybear

Теперь призагрузке вываливаетсясообщение

вероятно там после Explorer.exe через пробел он прописан
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe"

з.ы. сколько нивстречал этот вирус имя файла у него было smsc.exe

[Teddybear]

Цитата:

Сообщение от Oleg R

вероятно там после Explorer.exe через пробел он прописан
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe"

Спасибо! Про него-то я и забыл. Так оно и было..
Блин, как вы все эти ключи реестра помните?

Цитата:

Сообщение от Oleg R

сколько нивстречал этот вирус имя файла у него было smsc.exe

Вирусописатели не стоят на месте )
Кстати, эта сволочь еще и модифицировала реестр, запретив доступ на сайты почти всех популярных антивирусов. Пришлось править руками.
Вот вам и хваленый NOD32.. Свежий CureIT в режиме глубокого сканирования кстати нашел еще кучу говна. (см. рисунок).
Поставлю-ка я Avast, пожалуй.

[DonVitaly]

Teddybear, в утилите AVZ4 есть специальные скрипты "файл-восстановление системы", как раз помогает исправить все "новшества" от вирусни... Кстати, у тебя активна функция восстановления системы, где очень любят прятаться вирусы - DrWeb пишет путь ..._restore

[iggg]

Цитата:

Сообщение от Teddybear

Вот вам и хваленый NOD32.. Свежий CureIT в режиме глубокого сканирования кстати нашел еще кучу говна. Поставлю-ка я Avast, пожалуй.

Потом будет реплика о "хваленом Avaste". Чем лечились, то и ставьте.

[Teddybear]

Цитата:

Сообщение от iggg

Потом будет реплика о "хваленом Avaste". Чем лечились, то и ставьте.

По крайней мере, будет с чем сравнить.. Не попробовав - не узнать.
Я-то вообще под линухом сижу, мне пох, а дите вот под виндой..

[Oleg R]

Цитата:

Сообщение от Teddybear

как вы все эти ключи реестра помните?

я экспортировал в файл этот параметр и на зараженных компах просто провожу слияние заменяя неправильное значение, копировал строку какраз из такого файла.

Цитата:

Сообщение от DonVitaly

Кстати, у тебя активна функция восстановления системы, где очень любят прятаться вирусы - DrWeb пишет путь ..._restore

заметил, что не вирусы туда прячутся, а они там появляются после чистки. возможно, что винда просто видит изменения и туда делает штатный бэкап.

[Oleg R]

кому трудно вручную лазить в реестре и восстанавливать строку запускайте файл (разархивируйте сначала) и соглашайтесь с "добавлением информации в реестр".

[KotbI4]

На зараженном компе загрузился с диска (Sony PE), вычистил все ручную, удалил папки RECYCLER и System Volume Information на всех дисках. Восстановил реестр, подчистил автозагрузку. После нескольких перезагрузок smss.exe опять появился в папке RECYCLER.
У кого получилось побороть эту гадость опишите свой метод.