Показано с 1 по 12 из 12.

подозрение на вирус (заявка № 59887)

  1. #1
    Junior Member Репутация
    Регистрация
    10.11.2009
    Адрес
    Смоленск
    Сообщений
    86
    Вес репутации
    53

    Thumbs up подозрение на вирус

    сразу же прошу ногами сильно не бить: правила читал, но выложить логи пока не имею возможности.

    история такова: у знакомых в офисе скидывал на флэшку инфу через через тотал коммандер, заметил, что на флешке, сразу же в корневом каталоге появилось 2 скрытых файла:авторан и экзешник с корявым названием "oyubmt.exe". В autoran.inf на запуск помечен именно этот экзешник. При этом, не по обыкновению, никаких папок а ля "Recycler(d)", содержащих подозрительные экзешники не появилось. Попробовал удалить оба файла. Оба удалились и на флэшке более не появлялись. Появились только при повторном подключении оного девайса.
    Натравил на эти файлы KIS 6.0 (на всех ПК в офисе установлен. лизензионный) - 0 внимания (базы свежие, обновляются ежедневно).
    Т.к. времени там сидеть не было, файлы переименовал (они не спопротивлялись) и решил проверить потщательней дома.
    Дома проверил сразу установленным антивирусом - NOD32 3й версии со свежими базами ничего подозрительного в этих фалах не увидел. Запустил AVZ, обновил базы, проверил файлы - никакой реакции. Проверил архив с файлами на сайте Dr.WEBa - вот линк на результаты.
    Завтра обязательно пойду в гости снова, но уже во всеоружии. Сделаю все по правилам.
    Переименованные файлы в прикрепленном архиве.
    Хотелось бы узнать - это вирус или пора лечиться уже мне, у психиатора.
    Заранее благодарен за внимание.


    Файл сохранён как 091110_235438_!!_4af9d30ec562c.zip
    Размер файла 386542
    MD5 41cfc87f9fbb9799f7719f7252392324
    Последний раз редактировалось Vinny_B; 11.11.2009 в 01:32.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315
    По симптомам на зверя похоже. Ждём логи.

  4. #3
    Junior Member Репутация
    Регистрация
    10.11.2009
    Адрес
    Смоленск
    Сообщений
    86
    Вес репутации
    53
    вот логи.
    также, при лечении Касперским с базами от 11.11.2009 был замечен и удален oyubmt.exe. Логи, на всякий случай, сохранил.
    Также есть логи и карантин "кюрита".
    p.s. кстати, на компе, появилась ошибка "generic host process". Появляется через некоторое время, после подключения ADSL соединения. При появлении ошибки подвисает сетевое подключение и подключение интернета. Из заплаток к системе стоят только 3, что от Worm.Kido ограждают.
    Вот.
    Последний раз редактировалось Vinny_B; 23.11.2009 в 23:41.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Сделайте лог gmer.
    I am not young enough to know everything...

  6. #5
    Junior Member Репутация
    Регистрация
    10.11.2009
    Адрес
    Смоленск
    Сообщений
    86
    Вес репутации
    53
    вот логи гмер
    Последний раз редактировалось Vinny_B; 23.11.2009 в 23:41.

  7. #6
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Сохраните текст ниже как cleanup.bat в ту же папку, где находится l8h3peq5.exe (gmer)
    Код:
    l8h3peq5.exe -del service blhvfem
    l8h3peq5.exe -del service umlot
    l8h3peq5.exe -del file "C:\WINDOWS\system32\drvhf.dll"
    l8h3peq5.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\blhvfem"
    l8h3peq5.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\umlot"
    l8h3peq5.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\blhvfem"
    l8h3peq5.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\umlot"
    l8h3peq5.exe -reboot
    И запустите cleanup.bat
    Компьютер перезагрузится

    Сделать новый лог gmer
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  8. #7
    Junior Member Репутация
    Регистрация
    10.11.2009
    Адрес
    Смоленск
    Сообщений
    86
    Вес репутации
    53
    Цитата Сообщение от thyrex Посмотреть сообщение
    Сохраните текст ниже как cleanup.bat в ту же папку, где находится l8h3peq5.exe (gmer)
    Код:
    l8h3peq5.exe -del service blhvfem
    l8h3peq5.exe -del service umlot
    l8h3peq5.exe -del file "C:\WINDOWS\system32\drvhf.dll"
    l8h3peq5.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\blhvfem"
    l8h3peq5.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\umlot"
    l8h3peq5.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\blhvfem"
    l8h3peq5.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\umlot"
    l8h3peq5.exe -reboot
    И запустите cleanup.bat
    Компьютер перезагрузится

    Сделать новый лог gmer
    выполнил скрипт. при выполнении строк
    l8h3peq5.exe -del file "C:\WINDOWS\system32\drvhf.dll"
    выскочила ошибка.
    после перезагрузки все равно вырубало интернет: не успел антивирь обновить, но успел обновить авз.
    сделал снова все логи. При этом авз отправил несколько файлов в карантин.
    Интернет стал работать подольше, но все равно вылетает. логи прилагаются.
    карантин авз отправил, ибо времени ждать ответа, к сожалению, не имею.

    Файл сохранён как 091119_131824_virus_4b051b706483a.zip
    Размер файла 754286
    MD5 084e06c3063d8001312bcf654a143cfc
    Последний раз редактировалось Vinny_B; 23.11.2009 в 23:41.

  9. #8
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    В логе gmer чисто

    Выполните скрипт в AVZ
    Код:
    begin
    RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', 'C:\WINDOWS\system32\rserver30\r3god.dll,C:\PROGRA~1\KASPER~1\KASPER~1.0FO\adialhk.dll');
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Установите SP3 (может потребоваться активация) + все новые заплатки
    Установите Internet Explorer 8

    Сделайте новый лог virusinfo_syscheck.zip
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  10. #9
    Junior Member Репутация
    Регистрация
    10.11.2009
    Адрес
    Смоленск
    Сообщений
    86
    Вес репутации
    53
    все сделал.
    Последний раз редактировалось Vinny_B; 06.12.2009 в 19:20.

  11. #10
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Чисто. Проблема решена?
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  12. #11
    Junior Member Репутация
    Регистрация
    10.11.2009
    Адрес
    Смоленск
    Сообщений
    86
    Вес репутации
    53
    пока интернет работает без сбоев.
    спасибо!

  13. #12
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 5
    • В ходе лечения обнаружены вредоносные программы:
      1. \_oyubmt.exe_ - Trojan-Downloader.Win32.AutoIt.la ( DrWEB: Win32.HLLW.Autohit.10580, BitDefender: Trojan.Generic.2762051 )


  • Уважаемый(ая) Vinny_B, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Подозрение на вирус
      От Unisell в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 23.09.2010, 14:30
    2. Подозрение на вирус
      От fantazer333 в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 14.09.2010, 17:46
    3. Подозрение на вирус!
      От kvant-p в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 17.11.2009, 07:40
    4. Подозрение на вирус
      От Hruuum в разделе Помогите!
      Ответов: 14
      Последнее сообщение: 22.02.2009, 05:02
    5. Подозрение на вирус
      От Мурад в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 09.01.2009, 11:15

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01664 seconds with 17 queries