Ноутбук отдыхал в Индии. Предавался многочисленным и случайным сношениям с симпатичными аборигенными Интернет-кафе посредством LAN порта.
По приезде домой хозяин заподозрил неладное.
Dr.Web нашел:
Trojan.MulDrop.4181
Trojan.DownLoader.10355
Trojan.Copier
Trojan.Copyself
При чём два последних имели пафосное примечание “неизлечим”.
P.S.: Строчку F3 в HijackThis пофиксил сразу - достали сообщения при загрузке. Кстати, это предсмертная работа Trojan.MulDrop.4181.
Последний раз редактировалось Dihlophos; 30.05.2007 в 12:35.
Причина: Уточнение названия
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
C:\autorun.inf - это что за гадость? Похоже надо искать autorun.* на всех дисках + см. совет Bratez в Чаво (если не открываются диски)
C:\WINDOWS\svchost.exe - этого в карантин, если найдется и прислать.
Не вижу антивируса , или он отключен.
Есть подозрение, что пароли с этого компа уже известны в другом месте.
Павел AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home) На up не реагирую
Я так полагаю, добрый хозяин не снабдил своего мобильного друга антивирусом, так как при обследовании мной файловой структуры диска, следы антивируса также не были замечены .
Налицо изъян культуры - врядли неосведомленность...
При выполнении скрипта уважаемого MaXim'a AVZ несколько раз выкинул в протокол красную строчку типа "ошибка прямого чтения". Точнее не скажу - видел полсекунды - дальше машина ушла в перезагрузку. После перезагрузки выяснилось, что карантин пустой.
Вручную (визуальный осмотр директории), а так же пользуясь поиском AVZ выявить левый svchost.exe не удалось.
Из найденого - autorun.inf запускал copy.exe из корня.
При выдергивании флешки из зараженной машины и подключения её к чистой, защищенной Avast!'ом, выявился Win32.perlovga в корневом файле copy.exe. autorun.inf там тоже присутствовал с соответствующей записью.
При повторном цикле перевтыканий флешки был выявлен Avast!'ом Win32.Trojan-gen в корне флешки - в файле host.exe.
Что может быть важно - забыл загрузить IE перед запуском AVZ. Мой косяг
Запустил создание логов заново - AVZ бодренько отыскал и перетащил себе старый карантин DrWeb'a, промаркировав найденых зверей по-своему.
Загрузил карантин на virusinfo.info:
Файл сохранён как - 070603_182756_virus_4662cfec468f4.zip
Размер файла - 586
MD5 - 18b94fc13f7403dc4f4fc321e0079bd4
В карантин файлы, описаные мной в пункте №7 не попали, так как они не в карантине, а в папке Infected. Её я не загружал.
Э-э-э, да всё бы так...
Но терзат меня смутные сумнения....
Простите мою некомпетентность, но а это что за зверь (virusinfo_syscheck.zip):
1.4 Поиск маскировки процессов и драйверов
Видимый процесс с PID=1596, имя = "\Device\HarddiskVolume1\WINDOWS\system32\wbem\wmi adap.exe"
>> обнаружена подмена имени, новое имя = "\\?\c:\windows\system32\wbem\wmiadap.exe"
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: