Зловреда обнаружил по зависшему запросу к d.mobilebanner.ru с обращением за файлом p.gif и подумал, что у меня сайт заражен, но весь код на сервере чистый и соответствует летнему бекапу. В итоге нашел подмену одного из загружаемых javascript-ов вот таким -
Пользуюсь Mozilla FireFox и в других браузерах проблемы не наблюдается. Проверка системы AWCleaner/HitmanPro/CureIt/KVRT ничего не дала. Файлы от Hijack и avz прикладываю к посту, хотя дальше файрфокса заражение видимо не ушло.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) usrg, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Уточните пожалуйста в каталоге TDSSKiller образовался ли карантин?
Если присутствует карантин, то пожалуйста загрузите по ссылке "Прислать запрошенный карантин" вверху темы.
Код:
09:18:13.0468 0x0f68 Detected object count: 1
09:18:13.0468 0x0f68 Actual detected object count: 1
09:18:24.0390 0x0f68 C:\WINDOWS\system32\owasuy.dll - copied to quarantine
09:18:24.0390 0x0f68 HKLM\SYSTEM\ControlSet002\services\udsgld - will be deleted on reboot
09:18:24.0390 0x0f68 HKLM\SYSTEM\ControlSet004\services\udsgld - will be deleted on reboot
09:18:24.0390 0x0f68 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\svchost:netsvcs - will be cured on reboot
09:18:24.0390 0x0f68 C:\WINDOWS\system32\owasuy.dll - will be deleted on reboot
09:18:24.0390 0x0f68 udsgld ( UDS:DangerousObject.Multi.Generic ) - User select action: Delete
09:18:24.0484 0x0f68 KLMD registered as C:\WINDOWS\system32\drivers\42014655.sys
09:18:56.0828 0x0e4c Deinitialize success
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Зловреда пока все так же не видно - возможно какое то из опробованных антивирусных средств сработало, но без оповещений... И это был не kidokiller, посколько за последнии пару недель он минимум трижды убивал owasuy.dll в систем32 и какие то ключи в реестре, почему и опробовал десяток подобных ему утилит доступных в сети.
P.S. Что закрыть/отключить в XP, чтобы Kido не мог заражать через сеть?! Помимо установки антивируса...
Ничего отключать не надо. Вирус использует уязвимость Windows, для того чтобы её закрыть необходимо установить 3 обновления Microsoft: kb 958644, kb 957097, kb 958687.
Virusinfo - за чистый Интернет. Делай добро и бросай его в воду.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: