Показано с 1 по 7 из 7.

Обнаружен новый вирус (заявка № 6333)

  1. #1
    supercat
    Guest

    Обнаружен новый вирус

    Добрый день!

    Обнаружен новый вирус, не распознаваемый антивирусом Касперского.

    Выдается сообщение о том, что заражен файл
    c:\windows\system32\sfc_os.dll вирусом
    Trojan-Spy.Win32.Banker.alr

    Попытка вылечить его антивирусом или восстановить с дистрибутива Windows не приводит к успеху, после перезагрузки вирус остается в машине.

    Попытка отключить все загружаемые автоматически программы с помощью утилиты msconfig оказывается также безрезультативной, вторичное заражение компьютера происходит снова.

    Сканирование реестра с целью обнаружить наиболее распространенные вредоносные программы (svchost.scr, services.exe и др.) не приводит к положительным результатам. Эти программы не обнаруживаются.

    Вирус в файле sfc_os.dll также обнаруживается антивирусом AVG. Антивирус AVG используется на другой машине. На этой машине используется только антивирус Касперского.

    Исследование файла показало, что в нем изменены два байта:

    Сравнение файлов sfc_os.dll (оригинальный) и SFC_OS.DL2 (зараженный вирусом)
    0000E2B8: 8B 90
    0000E2B9: C6 90

    Файлы, полученные с помощью рекомендуемой процедуры, прилагаются.

    С уважением, Р. Искандарян
    Вложения Вложения

  2. Реклама
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1288

    Thumbs down

    Ваша система уже больше года not supported. Дырок в ней столько, что не прикрыть никаким Касперским. Рекомендации: срочно обновить до Service Pack 2 и поставить критические заплатки. Иначе толка не будет.

    Нету лога исследования с лечением и противодействием руткитам. Если зверь сидит, то хорошо замаскировался.

    P.S. Изменённая библиотека - это у вас отключена защита системных файлов Windows, насколько я понимаю. Какой-то зверь пропатчил. А может, кряк такой к системе.

  4. #3
    supercat
    Guest
    Спасибо, sp2 мы установим.

    Пока же самопроизвольно изменился пароль для доступа к этому форуму. Я восстановил пароль по e-mail и сейчас пишу с новым паролем.

    Самопроизвольно вирус перестал обнаруживаться.

    Межсетевым экраном был заблокирован доступ svchost.exe к адресу 195.91.219.42. Что это за процесс?

    Отчет поиска rootkit-ов в приложении.

    С уважением, Р. Искандарян.
    Вложения Вложения
    • Тип файла: txt log.txt (4.2 Кб, 6 просмотров)

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для MOCT
    Регистрация
    09.09.2005
    Адрес
    Russia
    Сообщений
    1,718
    Вес репутации
    132
    Цитата Сообщение от supercat
    Отчет поиска rootkit-ов в приложении.
    увы, это не исследование системы с противодействием руткитам

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1288
    Нужет лог из пункта 8 правил.

    Цитата Сообщение от supercat
    самопроизвольно изменился пароль для доступа к этому форуму.
    Спёрли... Поменяйте ещё раз. И все прочие пароли в интернете тоже поменяйте.

    Цитата Сообщение от supercat
    Межсетевым экраном был заблокирован доступ svchost.exe к адресу 195.91.219.42. Что это за процесс?
    Системный процесс. А IP-адрес принадлежит провайдеру Ринет. Символического имени не имеет. Может, там хозяин зверя живёт.

  7. #6
    supercat
    Guest
    Благодарим за помощь. Автор вируса выявлен и отключен провайдером от сети. Вирус с машины удален.

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1288
    Сделайте логи ещё раз. Все три, которые требовались.
    Контрольный выстрел, хочется убедиться, что всё в порядке.

    Если шпиона действительно вынесли, надо в последний раз поменять пароли на всё - и внешние, и внутренние. Да, если не стоит в системе пароль на учётную запись администратора - поставьте обязательно, и позаковыристее, чтобы не сразу взломали.

  • Уважаемый(ая) supercat, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Обнаружен новый вид кибероружия
      От CyberWriter в разделе Другие новости
      Ответов: 0
      Последнее сообщение: 29.05.2012, 00:20
    2. Обнаружен новый троян для BIOS
      От CyberWriter в разделе Новости компьютерной безопасности
      Ответов: 0
      Последнее сообщение: 13.09.2011, 21:30
    3. Обнаружен новый троян для Android
      От CyberWriter в разделе Новости компьютерной безопасности
      Ответов: 0
      Последнее сообщение: 18.06.2011, 15:40
    4. Обнаружен новый кроссплатформенный ботнет
      От CyberWriter в разделе Новости компьютерной безопасности
      Ответов: 0
      Последнее сообщение: 07.05.2011, 13:20
    5. Обнаружен новый файловый вирус Win32.HLLP.Karud
      От Geser в разделе Вредоносные программы
      Ответов: 14
      Последнее сообщение: 26.05.2006, 02:01

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00866 seconds with 20 queries