После переустановки ОС долго жил без постоянного антивируса. После установки KIS7 нашёл массу всего. Например, autorun.inf и h.cmd на всех локальных дисках. Что-то почистилось, но, видимо, не всё... В один момент обозначился сбой в Сетевом фильтре KIS7. Почти сразу заблокировалась Windows (с просьбой о cms с текстом 4111783973 на номер 3649). Перепугался! Странно, но простое нажатие на кнопку выключения ПК временно (до перезапуска ПК) отключало это всплывающее окно. После обнавления KIS7 и полного сканирования, а потом и удаления вреда это всплывающее окно перестало появляться вообще. Но до сих пор после перезагрузки KIS7 находит New threat (modificator): Hidden.Object в system32\<длинный набор букв.sys>. Удаляю и всё по-новому... Заметил, что что-то все время пытается подключиться к интернет. После, видимо, удачной попытки KIS7 предложил лечить Explorer.exe, после чего исчезла панель задач. Переключение между окнами производил с помощью Диспетчера задач, в котором, случайно обратил внимание на дублирование процесса rundll32.exe. Так же неожиданно произошло востановление. Не нравятся мне такие чудеса.
Подозрительные файлы на мой взгляд в system32\ : kgwmjtbp.dll, rlwzqc.dll, aptwhhhg.dll, qoMgeEvv.dll, xxyWOFVB.dll, urqOgfeB.dll, pbtjmwgk.ini, PVFOWyxx.ini, PVFOWyxx.ini2, bb0bc2bc-.txt.
Помогите, пожалуйста!..
Последний раз редактировалось ДимДимыч; 14.04.2009 в 04:05.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Вчера, уже после составления запроса на VirusInfo, снова обновил KIS7 и провёл быстрое сканирование. Был обнаружен и удалён hlncaugk.exe.
Сегодня после запуска ПК KIS7 снова обнаруживает Running process: C:\Windows\Explorer.EXE (PID:780), Intended address: http://disinfected: Hidden data sending. Проявляется открытием окна IE и попыткой подключения к интернет.
Пофиксил в HijackThis.
Выполнил Ваш скрипт в AVZ.
Присылаю карантин и новые логи.
P.S. Спасибо за оперативность!
Последний раз редактировалось Rene-gad; 14.04.2009 в 14:53.
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
Здравствуйте, добрые волшебники!
Мой отчёт: При запуске ПК KIS7 обнаружил и удалил Trojan-Downloader.Win32.FraudLoad.vohb
(c:\windows\system32\kdqweote.exe) и ещё 6-ть New threat (modification): Hidden.Object
(c:\windows\system32\ovfshlog.dat; c:\windows\system32\ovfshlog<набор букв>.dat - два;
c:\windows\system32\ovfshlog<набор букв>.dll - три). Произвел перезагрузку для их полного(?) удаления. В момент загрузки личных параметров ПК сам перезапустился. Произвёл быстрое сканирование KIS7 - чисто.
Далее выполнял по порядку поручения Rene-gad. После выполнения скрипта и перезагрузки ПК выкинул окно Rundll: Ошибка при загрузке c:\windows\system32\ebrvsiqv.dll (не найден указанный модуль). Очистил темп-папки. После выполнения перезагрузки ПК опять выкинул окно Rundll: Ошибка при загрузке c:\windows\system32\ebrvsiqv.dll (не найден указанный модуль). Выполнил первый скрипт и после перезагрузки ПК опять выкинул окно Rundll: Ошибка при загрузке c:\windows\system32\ebrvsiqv.dll (не найден указанный модуль). Выполнил другие два скрипта. Логи и запрошенный карантин посылаю. Да, кстати, запустился внутренний Сетевой экран KIS7 (всё это время показывающий ошибку), но не позволяет выходить ни на какие сайты - что-то с настройками?.. Пришлось временно его отключить и включить Виндовский.
Еще информации (через два часа): Обновил KIS7, запустил быстрое сканирование. Обнаружен и удалён Adware.Win32.SuperJuan.tls (c:\windows\system32\mwojtfdm.dll ). На сегодня всё.
Последний раз редактировалось ДимДимыч; 15.04.2009 в 00:57.
Сделал всё, как прописал Bratez. Прикрепляю логи.., чтоб наверняка. Вопросы если эти логи будут чисты:
- можно ли эти логи хранить, как "эталон" и под них зачищать последующие;
- что делать с файлами карантина.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: