Junior Member
Вес репутации
57
Buzus.bolj
стоит КИС 8 с свежими базами.
Сначала при каждом ребуте компа показывало сообщение о том, что sysdate пытается внедрится в процесс explorer.exe
Появилось интернет соедениние z-connect
Теперь при каждом подключение к инету вылазят сообщения от КИСа
18.07.2009 0:00:32 Запрещено: ecolavage.fr/*.exe Проводник Базы
18.07.2009 16:52:01 Обнаружено: Trojan.Win32.Buzus.bolj Проводник [
Несколько раз нашло в темп папках файлы dol4[3].exe, 890.exe и т.д. все с бузус вирусом.
прошелся полным сканированием - ничего не нашло
логи прилагаю
Вложения
Последний раз редактировалось V_Bond; 18.07.2009 в 22:40 .
Причина: ссылки
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\RECYCLER\S-1-5-21-9717482422-4113942505-781600370-2566\sysdate.exe','');
QuarantineFile('C:\WINDOWS\system32\USER32.dll','');
DeleteFile('C:\RECYCLER\S-1-5-21-9717482422-4113942505-781600370-2566\sysdate.exe');
DeleteFileMask('%Tmp%', '*.*', true);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил
повторите логи
Junior Member
Вес репутации
57
после ребута и начала сбора новых логов КИС выдал вот такое
19.07.2009 6:11:09 Обнаружено: Trojan.Win32.Dialer.eyl Антивирусная утилита AVZ C:\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\Temporary Internet Files\Content.IE5\3B2BL1XJ\dol4[1].exe
19.07.2009 6:11:18 Удалено: Trojan.Win32.Dialer.eyl Антивирусная утилита AVZ C:\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\Temporary Internet Files\Content.IE5\3B2BL1XJ\dol4[1].exe
19.07.2009 6:11:19 Обнаружено: Trojan.Win32.Dialer.eyl Антивирусная утилита AVZ C:\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\Temporary Internet Files\Content.IE5\3B2BL1XJ\dol4[2].exe
19.07.2009 6:11:19 Удалено: Trojan.Win32.Dialer.eyl Антивирусная утилита AVZ C:\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\Temporary Internet Files\Content.IE5\3B2BL1XJ\dol4[2].exe
19.07.2009 6:11:20 Обнаружено: Trojan.Win32.Dialer.eyl Антивирусная утилита AVZ C:\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\Temporary Internet Files\Content.IE5\3B2BL1XJ\dol4[3].exe
19.07.2009 6:11:20 Удалено: Trojan.Win32.Dialer.eyl Антивирусная утилита AVZ C:\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\Temporary Internet Files\Content.IE5\3B2BL1XJ\dol4[3].exe
19.07.2009 6:11:20 Обнаружено: Trojan.Win32.Dialer.eyl Антивирусная утилита AVZ C:\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\Temporary Internet Files\Content.IE5\3B2BL1XJ\dol4[4].exe
19.07.2009 6:11:20 Удалено: Trojan.Win32.Dialer.eyl Антивирусная утилита AVZ C:\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\Temporary Internet Files\Content.IE5\3B2BL1XJ\dol4[4].exe
19.07.2009 6:11:20 Обнаружено: Trojan.Win32.Dialer.eyl Антивирусная утилита AVZ C:\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\Temporary Internet Files\Content.IE5\98MKMWD7\dol4[1].exe
19.07.2009 6:11:20 Удалено: Trojan.Win32.Dialer.eyl Антивирусная утилита AVZ C:\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\Temporary Internet Files\Content.IE5\98MKMWD7\dol4[1].exe
19.07.2009 6:11:21 Обнаружено: Trojan.Win32.Dialer.eyl Антивирусная утилита AVZ C:\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\Temporary Internet Files\Content.IE5\MPMR087X\dol4[2].exe
19.07.2009 6:11:21 Удалено: Trojan.Win32.Dialer.eyl Антивирусная утилита AVZ C:\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\Temporary Internet Files\Content.IE5\MPMR087X\dol4[2].exe
Почистил все темпы ИЕ(хотя им не пользуюсь вообще, странно О_о)
Вложения
Последний раз редактировалось MiKXMan; 19.07.2009 в 07:25 .
В логах больше ничего подозрительного.
Подключение z-connect удалите.
Рекомендуется также удалить Bonjour .
I am not young enough to know everything...
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 1 Обработано файлов: 3 В ходе лечения обнаружены вредоносные программы:
c:\recycler\s-1-5-21-9717482422-4113942505-781600370-2566\sysdate.exe - P2P-Worm.Win32.Palevo.ied ( DrWEB: Trojan.Packed.541 )