Почти неделю назад совершил опрометчивый поступок - скачат с одного форума архив программ-байндеров. Потом стал их проверять в работе.
Закончилось любопытство плачевно. Что-то плохое поселилось на компе. Почему "что-то"? Потому что не могу идентифицировать. Использовал KAV-2007, Outpost Security Suite и AVZ. И ничего! Все найденные трояны обезвреживались и удалялись. Некоторые файлы я просто запер в архив (не хотел их удалять).
Дня через два заметил глюк -- многие исполняемые файлы перестали открываться. Или же например выкидывали окошко со словами "virus-check" и "corrupted". У меня очень большая коллекция софта, поэтому принял решение переустановить систему, т.к. файлы не хотели открываться и с компакт-диска.
4 раза переустанавливал систему. И каждый раз появлялся такой глюк.
Стоит чистая винда ХР. Пробую открыть Блокнот. Всё нормально. Открываю какой-нибудь посторонний .exe. Потом открываю Блокнот и ... ничего не происходит. Нельзя даже изменить язык или время, короче, ничего от Windows. Оставил комп на день в отключке. Затем реинстол. Вроде бы всё нормально. НО! Файрволл детектит, что идёт соединение от файлов Windows (winlogon.exe). Проверил системные файлы с оригиналами -- +10 кб. Что это может быть? Снова ставить систему с нуля просто не хочется - сил уже нет.
Свой диск с софтом я использовал и на чужом ноутбуке. Там сети нет, но есть один непонятный баг. OSS и AVZ виснут в папке C:\WINDOWS\system32\wbem\Repository. Я описал баг, но, увы, никакого ответа от Олега Зайцева так и не получил (логи также отослал).
Мне могут посоветовать почистить комп, но ведь и после полного форматирования проблема осталась. Да и софт выкидывать не хочется.
Как отловить эту гадость, которая портит .exe? Пожалуйста...
Прилагаю 2 лога, один полный, второй сокращённый, но самое главное там есть.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
1. Очевидно, у вас файловый вирус.
2. Отправьте по правилам карантина любой экешник, который точно заражен, нам.
3. Проверьте файлы, которые "ругаются" ("corrupted" и т.д.) на virustotal.com
4. Где лог hajck-ка?
Дополню Alex_Goodwin'a:
4. Скачайте свежий CureIt (http://www.drweb.ru/download/1028/) на другом компьютере, запишите его на CD, на своем запустите прямо с CD и выполните полную (не только экспресс) проверку в безопасном режиме.
Alex_Goodwin, Bratez,
спасибо за ответы! Мне пришлось вчера ставить новую операционную систему, поэтому файлы пока новые, но в ближайшие дни вирус себя ещё явно проявит (т.к. снова буду ставить проги с того диска).
Все рекомендации я выполню и напишу о результатах. Только в связи с ограничением по трафику я не смогу это сделать в ближайшие дни. Извините, пожалуйста, за подобное неудобство.
У меня есть ещё один вопрос по этой же теме.
Сразу после новой установки WinXP решил проверить интернет...и вдруг с удивлением заметил, что winlogon.exe пробует соединиться с сайтом ircd.zief.pl. Это так и должно быть на ЧИСТОЙ (возможно) и НОВОЙ операционке? И ещё вопрос. Все программы ставлю только со своих дисков. На этапе установки проблем нет, но они возникают позже. Можно ли найти вирус в установочном пакете или точно определить программу, которую категорически нельзя ставить? Стоит ли отказываться от работы в режиме Администратора?
P.S. проверил системные файлы на наличие цифровой подписи (file signature verification) . Как ни странно, но многие файлы от Майкрософта её не имеют. Проверку делал во время нахождения в сети и файл верификации тоже хотел законнектиться с кем-то.
Последний раз редактировалось Kodji; 05.09.2007 в 14:09.
Причина: опечатка
Давайте логи с только что установленной системы.
Работать под администратором не рекомендуется.Попробуйте использовать другие дистрибутивы с операционной системой и программами,мб действительно у вас там кроются "подарки"
Muzzle,
лог совпадает с прежними - снова красным шрифтом сообщается о наличии кода руткита. Хотя совсем недавно логи были чистыми. Наверное, винда ни при чём, проблема в установленных программах.
Закачал на сайт файл notepad.exe в архиве. Исполняемый файл не загружается.
67.5 кб - оригинальный файл от Майкрософта.
78 кб - инфицированный. Можно ли опознать этот вирус по одному файлу? В случае необходимости есть инфицированный winlogon.exe (из оригинала вырезано 30 кб) и regedit.exe (217 кб - оригинал, 185 кб - инфицированный).
Чуть позже предоставлю файлы из карантина.
Добавлено через 1 час 4 минуты
Virus.Win32.Virut.a
Детектирование добавлено 12 май 2006 13:16 MSK
Обновление выпущено 12 май 2006 14:05 MSK
Описание опубликовано 27 ноя 2006
Поведение Virus, компьютерный вирус
Технические детали
Вирус, заражающий исполняемые файлы Windows. Полиморфный зашифрованный вирус. Размер тела — 5128 байт.
При запуске вирус получает список процессов в системе и внедряет свой код в процесс, который находится на 4-й позиции в списке, после чего заражает и сам исполняемый файл процесса.
Вирус заражает файлы с расширениями .EXE и .SCR, которые являются приложениями Windows (PE EXE). Вирус не заражает файлы, которые содержат в своем имени одну из следующих строк:
PSTO
WC32
WCUN
WINC
При заражении вирус расширяет последнюю секцию исполняемого файла, записывает в неё свое тело и перенаправляет точку входа программы на свое тело.
Вирус пытается соединиться с IRC-сервером pro****.ircgalaxy.pl. Если ему это удается, то вирус принимает команды по IRC от злоумышленника и выполняет их.
Вирус поддерживает следующие команды:
загрузка из интернета вредоносного кода и внедрение его в процессы пользователя;
открытие указанных URL с компьютера пользователя.
А про источник ни слова... Как ловить, как называется исполняемый файл вируса, где может лежать... Эх...
Последний раз редактировалось Kodji; 06.09.2007 в 15:08.
Причина: Добавлено
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: