-
Junior Member
- Вес репутации
- 48
Неясная активность на google-in-counter.com
Началось всё с того, что Касперский 6.0.4.1424 корпаративный начал ругаться, что заблокировал попытку доступа к сайту http://google-in-counter.com/<конец пути постоянно меняется>.
Переодически появляются запущенными процессы rundll32.exe. Если фаром смотреть строку запуска, то она имеет вид:
rundll32.exe <разный набор латиснких символов>.ko,<другой набор латиснких символов>
При этом родительским процессом для данного является svchost.exe.
Поиск по гуглу только сегодня начал выдавать ссылку на подобную проблему: http://www.threatexpert.com/report.a...52fc5367ea13db
При проверке, как и там была найдена папка: %AppData%\KYL\fi.dat
После перезагрузки она появляется вновь. Файл fi.dat содержит одну строчку: <head>
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) dj_al, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('D:\Documents and Settings\anya.FARMA\Главное меню\Программы\Автозагрузка\igfxtray.exe','');
QuarantineFile('D:\Program Files\TortoiseSVN\Languages\TortoiseProc1049.dll','');
QuarantineFile('c:\dos\atapi.sys','');
QuarantineFile('d:\windows\system32\ruslat.exe','');
DeleteFile('D:\Documents and Settings\anya.FARMA\Главное меню\Программы\Автозагрузка\igfxtray.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
После перезагрузки выполните скрипт в AVZ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".
Повторите лог virusinfo_syscheck.zip и приложите в теме.
Сделайте лог MBAM:
http://virusinfo.info/showthread.php?t=53070
и приложите.
-
-
Junior Member
- Вес репутации
- 48
Спасибо. Как это я сам пропустил:
D:\Documents and Settings\anya.FARMA\Главное меню\Программы\Автозагрузка\igfxtray.exe
Первым делом же все места автозагрузки проверял.
По остальным:
D:\Program Files\TortoiseSVN\Languages\TortoiseProc1049.dll - это файл руссификации TortoiseSVN, скачан и установлен с их официального ресурса.
c:\dos\atapi.sys - это вобще старый драйвер CD-ROM для DOS. Просто он прописан в старом config.sys, вот похоже и среагировало на него.
d:\windows\system32\ruslat.exe - маленькая программка индикатор текущей раскладки. Ничего криминального там 100% нет, сам собирал с исходников.
Лог MBAM и повторного сканирования прилагаю. Карантин с теми файлами ,что нашёл AVZ тоже выслал.
Поползновения в инет на этот адрес после удаления igfxtray.exe прекратились.
Надеюсь, что скоро Каспер научится ловить эту дрянь.
Ещё раз большое спасибо.
-
Отключите Системное восстановление!!! как- посмотреть можно тут
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('ljwrmmoi.sys','');
DeleteFile('ljwrmmoi.sys');
DeleteFile(':\documents and settings\anya.farma\application data\avdrn.dat');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторный лог virusinfo_syscheck.zip;
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 9
- В ходе лечения вредоносные программы в карантинах не обнаружены
-