В моём компьютере (по нему, в соответствии с правилами, я создам отдельную тему) обнаружились трояны, поэтому я решил проверить и компьютер жены (по нему эта тема).
1. Касперский (6.0.2.621) в ходе полной проверки ничего не нашёл.
2. Полная проверка Dr.Web CureIt нашла (и удалила):
- в одном из файлов в Temporary Internet Files - Win32.HLLW.Shadow.based,
- в файлах в C:\Windows\System 32 - Trojan.Packed.162 и Win32.HLLW.Shadow.based.
До проверки Dr.Web CureIt с этого компьютера не получалось обновить антивирусные базы Касперского - он писал "Ошибка разрешения DNS имени", а также зайти на антивирусные сайты (включая сайт dr.web и virusinfo) или скачать антивирусы (напр. последнюю версию Dr.Web CureIt (с любых сайтов, а не только с официального сайта Dr.Web) или обновления к AVZ). После проверки и удаления указанных выше троянов все сайты стали доступны.
3. Проверка AVZ (эвристический анализатор) обнаружила в файле C:\Windows\System32\poradq.exe - Trojan.WinCrash. Предлагает послать файл на исследование, файл я не удалял.
К сообщению, как и положено, прикрепляю три лога.
Заранее большое спасибо за помощь!
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=46283).
Сделайте новые логи (только п.2 и 3 раздела Диагностика).
Написав первое сообщение, я ещё раз запустил AVP, с сегодняшними базами, он определил poradq.exe как вирус и удалил его (поместив в карантин). Поэтому в HijackThis указанных строчек уже не было, также я убрал из скрипта две строчки про poradq.exe. Но если файл нужен для анализа, то я могу восстановить его из карантина AVP.
При выполнении скрипта компьютер сам не перезагрузился - explorer выключился, остались только обои рабочего стола. Я подождал минут 5 (думая, что, может быть, AVZ что-то делает в фоновом режиме), ничего не менялось, я нажал Reset. Я правильно сделал?
Карантин выслал.
Сейчас сделаю диагностику и добавлю новые логи.
Но мне кажется, что удалить трояны пока не получилось... Всё время присутствует какая-то сетевая активность, причём отправляется (sent) значительно больше, чем приходит (received). За то время, что я пишу это сообщение (пара минут) уже отправилось 3-4 мегабайта, при этом я ни на какие веб-страницы не захожу. Такая сетевая активность и вызвала у меня первоначальное подозрение о наличии троянов или вирусов... Ещё в Task Manager'е появился какой-то процесс rekey.exe из файла c:\windows\system32\rekey.exe, который, согласно свойствам, создан несколько минут назад.
Но компьютер опять не перезагрузился сам! То есть explorer выключился, на Ctrl + Alt + Del не реагировал, остались только обои на рабочем столе - но перезагрузки не происходило. Пришлось после минут 10 ожидания нажать Reset.
После перезагрузки я сделал логи, Интернет включался, но на VirusInfo зайти не получалось (как в самом начале)... Я перезагрузился в Safe mode, запустил Dr.Web CureIt в быстром режиме, он нашёл "C:\Windows\System32\zvwkrx.dll инфицирован Win32.HLLW.Shadow.based - удален" и перезагрузился.
После этого удалось выйти в Интернет и зайти на VirusInfo. Вот сейчас послал карантин и прикрепляю логи...
Вот, смотрю в Task Manager опять появился посторонний процесс (какой-то cgxjhki.exe), по сети постоянно идёт трафик (в основном исходящий).
Может быть, мне создать Dr.Web LiveCD, загрузиться с него и снова провести полную проверку? Или не поможет, если я его буду создавать на заражённом компьютере?
Добавлено через 1 час 16 минут
Подскажите, пожалуйста, что мне делать дальше?.. Меньше чем за час исходящий трафик составил около 50 Мб - хотя я никуда не заходил, кроме этого сайта. И что он там рассылает - спам что ли? Или DDOS-атаки ведёт какие-то? У меня безлимитка, так что трафика как такового не жалко, но это же просто разгул вирусов какой-то...
Последний раз редактировалось AKayumov; 22.05.2009 в 12:04.
Причина: Добавлено
Что-то мы не поспеваем, каждый раз что-то новенькое. Последние логи в принципе чистые, но судя по следующему посту, опять подхватили заразу. Впрочем, с такой системой неудивительно:
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Мне кажется, вряд ли это что-то новое, - я даже не подключался к Интернету, а новые экземпляры уже снова появлялись в Task Manager'е и на диске - значит, это та же самая гадость, которая не до конца удаляется...
IE я не пользуюсь, у меня Опера (точнее, у жены, это её комп). На моём компе стоит Windows XP c SP2, там, похоже, то же самое...
Вопросы:
- Стоит ли пытаться на заражённой системе ставить сейчас сервис-паки? Что мне сейчас лучше делать - с загрузочного CD или DVD проводить полное сканирование или же на Windows SP ставить? Подскажите, что дальше делать...
- Как вы думаете, почему компьютер может не выключаться и не перезагружаться? Если я его вручную выключаю, он тоже (как и при перезагрузке при помощи AVZ) не полностью выключается, а только Explorer выгружает.
- Я прочитал несколько соседних жалоб, похоже, не у меня одного такие симптомы - невозможность зайти на антивирусные сайты, исходящий трафик. Может, это какая-то новая гадость? Нет сейчас какой-нибудь "эпидемии"?
На всякий случай снова сделал логи. Мне там кажутся подозрительными только что появившаяся C:\WINDOWS\System32\cgxjkhi.exe и C:\WINDOWS\Fonts\unwise_.exe...
unwise_.exe мы с вами уже удаляли - откуда он снова взялся... Может быть, Boot Cleaner не работает, раз компьютер некорректно выключается (т.е. сам не выключается, а только по reset'у)?
Т.к. этот unwise_.exe повторяется, то может это тело трояна, которое и создаёт копии? Может на него AVP или CureIt натравить прицельно?
Последний раз редактировалось AKayumov; 22.05.2009 в 13:19.
Дело в том, что мой компьютер и компьютер жены были подключены к Интернету через ADSL-роутер с встроенным firewall'ом, но роутер сломался (вздулись конденсаторы). Позавчера я взял у отца его ADSL-модем. Вышел через него в Интернет со своего компьютера и с компьютера жены. После этого на них появились вирусы со схожими симптомами (у меня тоже есть файл unwise_.exe, тоже идёт исходящий трафик, если подключить Интернет). Отец говорит, что у него тоже был такой паразитный исходящий трафик. Кроме ADSL-модема с компьютером отца я никак не контактировал (ни с флэшкой, ни с дискетой, ни по почте)... Вроде бы я слышал, что появились вирусы, заражающие модемы...
Давайте попробуем удалить этот C:\WINDOWS\Fonts\unwise_.exe с помощью Ice Sword, как описано здесь: http://virusinfo.info/showthread.php?t=17228. После этого сразу же, не перезагружаясь, пофиксите в HijackThis
Всё выполнил, unwise_.exe удалился. Вроде пока всё нормально... Загрузил логи.
А вы не могли бы подсказать, какой программой можно отслеживать, какой процесс посылает/принимает данные по сети? Вдруг через некоторое время начнётся снова несанкционированная сетевая активность?
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: