Показано с 1 по 8 из 8.

Подозрение на вирус (заявка № 49293)

  1. #1
    Junior Member Репутация
    Регистрация
    04.07.2009
    Сообщений
    4
    Вес репутации
    28

    Cool Подозрение на вирус

    Есть подозрения на заражение системы какой-то дрянью:
    Сначало стали появляться окна IE с рекламой, при проверке системы антивирусом KAV 8.0.0.506 был найден файл jwtch32.exe (в системной папке Windows) зараженный HEUR:Trojan.Win32.Generic лечить сие чудо KAV отказался на отрез даже с отключенным восстановлением системы однако с 5 попытки все-таки кинул его в карантин целиком ....
    При этом IE постоянно ломится в инет пришлось рубить доступ ему Outpost'oм ...
    При проверке системы утилитой AVZ найдено еще много подозрительных файлов...
    Посмотрите плизз что за зверь такой завелся, и главное как его прибить?
    Вложения Вложения

  2. Реклама
     

  3. #2
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,662
    Вес репутации
    2817
    Выполните скрипт в AVZ:

    Код:
    begin
     ClearQuarantine;
     QuarantineFile('C:\WINDOWS\system32\WMPSrkbd.exe','');
    end.
    Пришлите нам карантин по правилам. Ссылка для загрузки вверху темы.
    Наша служба, будто сердце, отдыха не знает никогда.

  4. #3
    Junior Member Репутация
    Регистрация
    04.07.2009
    Сообщений
    4
    Вес репутации
    28
    скрипт выполнил, карантин отправил

  5. #4
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,662
    Вес репутации
    2817
    Присланный файл скорее всего чистый. В логах нет ничего подозрительного.

    Добавлено через 1 минуту

    Цитата Сообщение от Skylod Посмотреть сообщение
    при проверке системы антивирусом KAV 8.0.0.506 был найден файл jwtch32.exe (в системной папке Windows) зараженный HEUR:Trojan.Win32.Generic
    Попробуйте поискать его на диске и если найдете, то пришлите его нам.
    Последний раз редактировалось Aleksandra; 05.07.2009 в 07:55. Причина: Добавлено
    Наша служба, будто сердце, отдыха не знает никогда.

  6. #5
    Junior Member Репутация
    Регистрация
    04.07.2009
    Сообщений
    4
    Вес репутации
    28
    файл отправил в архиве
    не знаю почему но KAV сам восстановил его из карантина
    пришлось при помощи Linux'a удалить его из папки теперь вроде как все стало спокойно...
    Проверил файл на VirusTotal детектируют как зловреда 7 сканеров из 41 (Касперский молчит как партизан)

    Добавлено через 4 минуты

    вот еще KAV начал выдавать в отчетах
    05.07.2009 3:56:20 Обнаружено: Hidden object 93BB9.EXE
    05.07.2009 3:56:53 Обнаружено: Hidden object 93BB9.EXE
    05.07.2009 3:57:26 Обнаружено: Hidden object 93BB9.EXE
    и т д
    хотя такого файла нет и в помине
    Последний раз редактировалось Skylod; 05.07.2009 в 13:53. Причина: Добавлено

  7. #6
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,662
    Вес репутации
    2817
    Цитата Сообщение от Skylod Посмотреть сообщение
    файл отправил в архиве
    Карантин у нас. Реакция KIS 2009=Подозрение HEUR:Trojan.Win32.Generic, но это не детект а эвристик. Подождем ответа из вир. лаба.
    Наша служба, будто сердце, отдыха не знает никогда.

  8. #7
    Junior Member Репутация
    Регистрация
    04.07.2009
    Сообщений
    4
    Вес репутации
    28
    не дождавшись ответа решил идти по принципу "помоги себе сам"
    1) ответ лаборатории Касперского на отправленный файл:
    35515423_124475766_jwtch32.exe_ - Trojan-Dropper.Win32.Small.doa
    New malicious software was found in this file. It's detection will be included in the next update. Thank you for your help.
    2) прогнал всю систему с отключенным восстановлением на максимальных настройках KAV (после обновления базы)
    3) удалил расширения из IE утилитой AVZ (номерные которым не было соответствия файлов)
    4) удалил файл 93BB9.EXE из С:\Windows\Downloaded Program Files\ (для удаления пришлось включить отображение скрытых файлов и папок)
    удалял в безопасном режиме (иначе никак - при перезагрузке экзешник снова был "живее всех живых")
    5) в безопасном режиме под системной учетной записью Администратора с папки для учетной записи под которой постоянно нахожусь удалил доступ для "неизвестной учетной записи" (C:\Documents and Settings\....)
    6) часть настроек IE оказалась заблокированной пришлось шаманить реестр:
    в ветке
    [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Win dows\CurrentVersion\Internet Settings]
    удалил параметр
    "Security_HKLM_only"=dword:00000001
    и тут
    [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Int ernet Explorer\Restrictions]
    удалил
    "NoPopupManagement"=dword:00000001
    это дало возможность настроить уровни безопасности для различных зон, а также настроить блокировку всплывающих окон....
    --------------------------------------------
    вот и собственно и все

  9. #8
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,506
    Вес репутации
    940

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 2
    • В ходе лечения обнаружены вредоносные программы:
      1. \jwtch32.exe - Trojan-Dropper.Win32.Small.doa


  • Уважаемый(ая) Skylod, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Подозрение на вирус
      От Unisell в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 23.09.2010, 14:30
    2. Подозрение на вирус
      От fantazer333 в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 14.09.2010, 17:46
    3. Подозрение на вирус!
      От kvant-p в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 17.11.2009, 07:40
    4. Подозрение на вирус
      От Hruuum в разделе Помогите!
      Ответов: 14
      Последнее сообщение: 22.02.2009, 05:02
    5. Подозрение на вирус
      От Мурад в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 09.01.2009, 11:15

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00493 seconds with 21 queries