-
Junior Member
- Вес репутации
- 53
подозрение на вирус
сразу же прошу ногами сильно не бить: правила читал, но выложить логи пока не имею возможности.
история такова: у знакомых в офисе скидывал на флэшку инфу через через тотал коммандер, заметил, что на флешке, сразу же в корневом каталоге появилось 2 скрытых файла:авторан и экзешник с корявым названием "oyubmt.exe". В autoran.inf на запуск помечен именно этот экзешник. При этом, не по обыкновению, никаких папок а ля "Recycler(d)", содержащих подозрительные экзешники не появилось. Попробовал удалить оба файла. Оба удалились и на флэшке более не появлялись. Появились только при повторном подключении оного девайса.
Натравил на эти файлы KIS 6.0 (на всех ПК в офисе установлен. лизензионный) - 0 внимания (базы свежие, обновляются ежедневно).
Т.к. времени там сидеть не было, файлы переименовал (они не спопротивлялись) и решил проверить потщательней дома.
Дома проверил сразу установленным антивирусом - NOD32 3й версии со свежими базами ничего подозрительного в этих фалах не увидел. Запустил AVZ, обновил базы, проверил файлы - никакой реакции. Проверил архив с файлами на сайте Dr.WEBa - вот линк на результаты.
Завтра обязательно пойду в гости снова, но уже во всеоружии. Сделаю все по правилам.
Переименованные файлы в прикрепленном архиве.
Хотелось бы узнать - это вирус или пора лечиться уже мне, у психиатора.
Заранее благодарен за внимание.
Файл сохранён как 091110_235438_!!_4af9d30ec562c.zip
Размер файла 386542
MD5 41cfc87f9fbb9799f7719f7252392324
Последний раз редактировалось Vinny_B; 11.11.2009 в 01:32.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
По симптомам на зверя похоже. Ждём логи.
-
-
Junior Member
- Вес репутации
- 53
вот логи.
также, при лечении Касперским с базами от 11.11.2009 был замечен и удален oyubmt.exe. Логи, на всякий случай, сохранил.
Также есть логи и карантин "кюрита".
p.s. кстати, на компе, появилась ошибка "generic host process". Появляется через некоторое время, после подключения ADSL соединения. При появлении ошибки подвисает сетевое подключение и подключение интернета. Из заплаток к системе стоят только 3, что от Worm.Kido ограждают.
Вот.
Последний раз редактировалось Vinny_B; 23.11.2009 в 23:41.
-
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 53
Последний раз редактировалось Vinny_B; 23.11.2009 в 23:41.
-
Сохраните текст ниже как cleanup.bat в ту же папку, где находится l8h3peq5.exe (gmer)
Код:
l8h3peq5.exe -del service blhvfem
l8h3peq5.exe -del service umlot
l8h3peq5.exe -del file "C:\WINDOWS\system32\drvhf.dll"
l8h3peq5.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\blhvfem"
l8h3peq5.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\umlot"
l8h3peq5.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\blhvfem"
l8h3peq5.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\umlot"
l8h3peq5.exe -reboot
И запустите cleanup.bat
Компьютер перезагрузится
Сделать новый лог gmer
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
Сообщение от
thyrex
Сохраните текст ниже как cleanup.bat в ту же папку, где находится l8h3peq5.exe (gmer)
Код:
l8h3peq5.exe -del service blhvfem
l8h3peq5.exe -del service umlot
l8h3peq5.exe -del file "C:\WINDOWS\system32\drvhf.dll"
l8h3peq5.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\blhvfem"
l8h3peq5.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\umlot"
l8h3peq5.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\blhvfem"
l8h3peq5.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\umlot"
l8h3peq5.exe -reboot
И запустите cleanup.bat
Компьютер перезагрузится
Сделать новый лог gmer
выполнил скрипт. при выполнении строк
l8h3peq5.exe -del file "C:\WINDOWS\system32\drvhf.dll"
выскочила ошибка.
после перезагрузки все равно вырубало интернет: не успел антивирь обновить, но успел обновить авз.
сделал снова все логи. При этом авз отправил несколько файлов в карантин.
Интернет стал работать подольше, но все равно вылетает. логи прилагаются.
карантин авз отправил, ибо времени ждать ответа, к сожалению, не имею.
Файл сохранён как 091119_131824_virus_4b051b706483a.zip
Размер файла 754286
MD5 084e06c3063d8001312bcf654a143cfc
Последний раз редактировалось Vinny_B; 23.11.2009 в 23:41.
-
В логе gmer чисто
Выполните скрипт в AVZ
Код:
begin
RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', 'C:\WINDOWS\system32\rserver30\r3god.dll,C:\PROGRA~1\KASPER~1\KASPER~1.0FO\adialhk.dll');
RebootWindows(true);
end.
Компьютер перезагрузится.
Установите SP3 (может потребоваться активация) + все новые заплатки
Установите Internet Explorer 8
Сделайте новый лог virusinfo_syscheck.zip
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
Последний раз редактировалось Vinny_B; 06.12.2009 в 19:20.
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
пока интернет работает без сбоев.
спасибо!
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 5
- В ходе лечения обнаружены вредоносные программы:
- \_oyubmt.exe_ - Trojan-Downloader.Win32.AutoIt.la ( DrWEB: Win32.HLLW.Autohit.10580, BitDefender: Trojan.Generic.2762051 )
-