Intrusion.Win.DNS.buffer-overflow.exploit + неопознанное USB-устройство и странный драйвер
Здравствуйте.
Проблема такая. Виндоус 7 64-бит.
Ок. месяца назад у меня ни с того ни с сего отключился антивирус Касперского, с сообщением "все сетевые соединения будут разорваны через 5 сек." Перепугался я изрядно, но т.к. дело было аккурат в последние минуты установки большого патча для World of Warcraft, особого значения не придал - такое игра делала при установке патчей и раньше минимум дважды (а один раз нафиг убила все настройки роутера). Проверку системы сделал, все чисто.
2 недели назад Каспер же сообщил мне о попытке атаки на компьютер. Intrusion.Win.DNS.buffer-overflow.exploit.
Причем сообщение было зеленым и "разрешено". Опять же, нервов мне это пожгло, проверка ничего не дала, гугл же по названию зловреда выдавал только одну ссыль, где утверждалось, что это баг Kaspersky Internet Security 2013 и ничего пугаться не надо.
Вчера же и сегодня у меня винда начала выдавать сообщения о том, что обнаружено неизвестное USB-устройство (хотя ничего нового я не включал), причем на второй раз установила какие-то драйверы и предложила перезагрузиться. После перезагрузки каспер поймал какую-то драйвероподобную фигню, попытавшуюся запуститься через cmd.exe (еще до запуска самого антивируса, при самых первых секундах закрузки самой системы). Не успел запомнить название, выбрал "Отмена".
На диске C: создалась папка KVRT_Data, в ней файлы report_20150317_004135.klr.enc1 и legal_notices.txt (хз, это может быть и что-то от антивирусного скана, конечно)
Сделал скан системы в безопасном режиме и AVPTool, и dr. Web CureIt, ноль эмоций.
В общем, может, это опять какие-то глюки, но рисковать я больше не хочу.
По поводу логов - у меня 64-битная система, в инструкции утверждается, что пункт 1 выполнять для нее не надо. Соответственно, получить файл virusinfo_syscure.zip я не имею возможности, прилагаю два других. Или его тоже нужно сделать в безопасном режиме (мне так советовали)?
Заранее спасибо за помощь.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Rommboss, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа.
Прикрепите эти три файла к своему следующему сообщению.
Спасибо. Сегодня вечером сделаю, сейчас не имею доступа к компьютеру (на работе).
Дополнение к вчерашнему, относительно сообщения Касперского о подозрительных драйверах. Оно возникло сразу же после загрузки Windows, до того, как загрузились основные программы, и выглядело как обычное виндосовское окно, с заголовком "Антивирус Касперского" (или что-то аналогичное) и текстом вроде "Антивирус обнаружил попытку установить подозрительный драйвер" (или, опять же, что-то в этом роде - не соскриншотил) и кнопками "Разрешить" и "Отмена". На заднем фоне при этом возникло черное досовское окошко с заголовком cmd.exe. Сам Каспер после загрузки через пару минут эту угрозу никак не отметил. Это известные симптомы? Такое может выдавать Каспер, или это 100% был маскирующийся под него зловред, и установку "драйвера" он произвел и в случае выбора отмены?
Добавлю, что перед этим я скачал AVPTool и Dr Web CureIt, и обоими проводил проверку из безопасного режима. Так у меня стоит KIS 2013. После появления окошка с драйвером еще раз сканировал им систему, предсказуемо безрезультатно.
А папка KVRT_Data, видимо, относится к AVTool, что, впрочем, все равно не обнадеживает.
И еще, скажите, будьте добры, в приложеных логах какая-то гадость засветилась уже?
Ну вот и хорошо) Спасибо за помощь!
Если не сложно только, было бы интересно услышать версии ситуации с драйвером. Вообще из того, что я нагуглил, винда действительно при обнаружении неизвестных устройств (за что часто принимает глюки с юсб-портом) ставит сама собой какие-то дефолтные дрова. Но смущает, почему каспер возмутился, да еще в такой странной форме.
Ответить с цитированием
