Показано с 1 по 11 из 11.

Странные логи AVZ через неделю после лечения :( (заявка № 10027)

  1. #1
    Junior Member Репутация
    Регистрация
    15.05.2007
    Адрес
    Москва
    Сообщений
    37
    Вес репутации
    35

    Thumbs up Странные логи AVZ через неделю после лечения :(

    Похоже опять проблема с компьютером, вылеченным здесь: http://virusinfo.info/showthread.php?p=110690
    После лечения на следующий день поставил Kaspersky Internet Security 6.0 просканировал все, удалил несколько уже неактивных троянов и думал проблемы кончились.
    Смущало только такие вещи:
    периодические сообщения вида - Intrusion.Win.MSSQL.worm.Helkern! IP-адрес атакующего: 61.134.53.62. Протокол/сервис: UDP на локальный порт 1434. Время: 20.05.2007 13:09:09
    сообщения вида - 26.05.2007 19:32:03 Попытка процесса с PID 668 получения доступа к процессу Kaspersky Internet Security с PID 1956 была заблокирована. Это результат срабатывания механизма самозащиты. Под PID 668 работал explorer.exe

    На днях набрел на некую страницу содеражщую вирус - Kaspersky его перехватил, во всяком случае написал об этом
    26.05.2007 11:43:52 Вредоносный HTTP-объект <Здесь была зараженная ссылка>: обнаружено: вирус 'Virus.Win32.Delf.bn'.

    Сегодня решил запустить avz для контроля и его логи мне показались очень странными - либо это Kaspersky добавил свои драйвера, либо опять вирус пришел.

    PS: На 99% не важно, но за эти дни запускал три программы, на которые ругался Kaspersky, но я его заставлял игнорировать - filemon.exe (скачен с sysinternals.com), regmon.exe (скачен с sysinternals.com) и IDA, которая сто лет стоит на компе. (22.05.2007 23:35:03 Процесс F:\Program Files\IDA\idag.exe, обнаружено: потенциально опасное ПО 'Invader' (модификация).
    )

    PPS Восстановление сейчас пока не отключал, но, если надо будет, то сразу отключу.
    Вложения Вложения

  2. Реклама
     

  3. #2
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1691
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\ecsepm.cpl','');
     QuarantineFile('C:\Program Files\HP\{AAC4FC36-8F89-4587-8DD3-EBC57C83374D}\pexpress\hphped06.exe','');
     QuarantineFile('c:\windows\system32\hphmon06.exe','');
    RebootWindows(false);
    end.
    Пришлите файлы карантина по правилам раздела "Помогите". Скорее всего чистые, но лучше проверить. Радуйтесь, что у Вас установлен KIS и что он во время распознал угрозу.

  4. #3
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.12.2006
    Сообщений
    3,699
    Вес репутации
    1810
    Цитата Сообщение от e_aleks Посмотреть сообщение
    filemon.exe (скачен с sysinternals.com), regmon.exe (скачен с sysinternals.com) и IDA, которая сто лет стоит на компе. (22.05.2007 23:35:03 Процесс F:\Program Files\IDA\idag.exe, обнаружено: потенциально опасное ПО 'Invader' (модификация).
    KIS должен "ругаться" на эти программы: filemon.exe и regmon.exe извлекают из себя драйвера и инсталлируют их, а IDA содержит в своем составе отладчик, который внедряется в другие процессы.
    The worst foe lies within the self...

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    967
    Пока чисто Добавились перехваты каспера , это нормально. хелкерн - для вас не опасен , к тому же каспер его отражает (просто иногда раздражает , понимаю )насчёт попытки эксплорера получить доступ к кис- странно , такого не должно быть.Но возможно это был кто-то другой ;0 Сложно сказать
    Чтобы уменьшить шанс заражения советую :
    1) работать за компьютером из под ограниченного пользователя.
    2)Пользоваться для хождения по интернету другим браузером с отключёнными скриптами по умолчанию (Firefox и Opera это позволяют делать в отличии от ИЕ 7 )
    Сделайте следующее: http://virusinfo.info/showthread.php?t=3519

    , чтобы в следующий раз вас не просили присылать те же самые файлы ( они должны стать зелёными в логе
    Последний раз редактировалось drongo; 26.05.2007 в 23:33.

  6. #5
    Junior Member Репутация
    Регистрация
    15.05.2007
    Адрес
    Москва
    Сообщений
    37
    Вес репутации
    35
    Карантин я выложил.

    Пока чисто Добавились перехваты каспера , это нормально.
    А вот меня они более всего и смутили - я их принял за руткит.

    Вот, что еще меня сильно смущает - несколько минут назад Каспер нашел у меня на диске

    удалено: троянская программа Trojan-PSW.Win32.LdPinch.ady Файл: C:\Documents and Settings\Aleksey\~tmp0374.exe ALEKSEY\Aleks localhost

    Это притом, что я проверял все диски Каспером и все вылечил (удалил). Откуда же тогда этот LdPinch взялся снова?

    Есть у меня подозрение, что на зраженном сайте могло еще что-то сидеть, что Каспер не увидел. На всякий случай дам на него ссылку - осторожно вирус!!!
    26.05.2007 11:43:52 Вредоносный HTTP-объект [Link]
    : обнаружено: вирус 'Virus.Win32.Delf.bn'.

    Чтобы уменьшить шанс заражения советую :
    1) работать за компьютером из под ограниченного пользователя.
    2)Пользоваться для хождения по интернету другим браузером с отключёнными скриптами по умолчанию (Firefox и Opera это позволяют делать в отличии от ИЕ 7 )
    Спасибо за советы, на иной браузер я уже осбирался переходить - на Opera.

    Сделайте следующее: http://virusinfo.info/showthread.php?t=3519
    Так я же это уже делал - неделю назад, могу еще раз выложить, если нужно.

  7. #6
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1691
    Есть у меня подозрение, что на зраженном сайте могло еще что-то сидеть, что Каспер не увидел. На всякий случай дам на него ссылку - осторожно вирус!!!
    Принято к сведению Ссылку убрал, чтобы ни кто не заразился.
    Спасибо за советы, на иной браузер я уже осбирался переходить - на Opera.
    У этого брауера есть свои проблемы, причем очень серьезные.
    Так я же это уже делал - неделю назад, могу еще раз выложить, если нужно.
    Повторите ещё раз

  8. #7
    Junior Member Репутация
    Регистрация
    15.05.2007
    Адрес
    Москва
    Сообщений
    37
    Вес репутации
    35
    Так я же это уже делал - неделю назад, могу еще раз выложить, если нужно. Повторите ещё раз
    Уже сделал.

  9. #8
    Junior Member Репутация
    Регистрация
    15.05.2007
    Адрес
    Москва
    Сообщений
    37
    Вес репутации
    35
    Сделал сейчас полную проверку всего Касперским. (несколько часов делалась) Из файлов не нашлось ничего зараженного. В почте удалил десяток зараженных писем еще 2004 года, но они все равно не запускались ни разу.
    Всем спаcибо за помощь.

  10. #9
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    @e_aleks Все-таки, от лукавого , смените пароли. Может, тот Пинч, найденный Касперским уже успел сработать.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  11. #10
    Junior Member Репутация
    Регистрация
    15.05.2007
    Адрес
    Москва
    Сообщений
    37
    Вес репутации
    35
    @e_aleks Все-таки, от лукавого , смените пароли. Может, тот Пинч, найденный Касперским уже успел сработать.
    Уже сменил. Скоро у меня фантазия иссякнет на новые пароли.

    Есть у меня подозрение, что на зраженном сайте могло еще что-то сидеть, что Каспер не увидел. На всякий случай дам на него ссылку - осторожно вирус!!! Принято к сведению Ссылку убрал, чтобы ни кто не заразился.
    А известен ли сейчас вердикт по этому сайту, что же там за "зверь" все-таки обитал.

    Спасибо за советы, на иной браузер я уже осбирался переходить - на Opera. У этого брауера есть свои проблемы, причем очень серьезные.
    А нельзя ли поподробнее?

  12. #11
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,516
    Вес репутации
    940

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 6
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) e_aleks, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Через неделю половина SAP систем, доступных из Интернет, будут взломаны
      От CyberWriter в разделе Новости интернет-пространства
      Ответов: 0
      Последнее сообщение: 27.07.2011, 14:00
    2. Ответов: 2
      Последнее сообщение: 13.07.2011, 13:03
    3. смс вымогатель, через час после включения
      От fedbarus в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 30.03.2010, 15:55
    4. Ответов: 1
      Последнее сообщение: 19.11.2009, 20:58
    5. Через неделю миру покажут 8-ядерный Intel
      От SDA в разделе Новости аппаратного обеспечения
      Ответов: 0
      Последнее сообщение: 11.08.2008, 20:47

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01581 seconds with 24 queries