Вчера Nod32 выловил эту бяку, одну видимо прибил, другую не смог:
Bpeмя Moдуль Oбъeкт Имя Bиpуc Дeйcтвиe Пoльзoвaтeль Инфopмaция
14.12.2009 14:57:45 AMON файл D:\Temp\~TM172.tmp модифицированный Win32/Kryptik.BID троян NT AUTHORITY\SYSTEM Событие произошло в файле модифицированном приложением. C:\WINDOWS\system32\svchost.exe. Файл удален.
14.12.2009 14:57:03 AMON файл D:\Temp\~TM170.tmp Win32/TrojanProxy.Tikayb.A троян удален NT AUTHORITY\SYSTEM Событие произошло в файле модифицированном приложением. C:\WINDOWS\system32\svchost.exe.
Сегодня svchost.exe грузит процессор на 100%, свежий cureit ничего не находит, файл siszyd32.exe прибил ручками в безопасном режиме и вычистил из реестра его остатки. Пока все вроде бы нормально.
Логи сделаны до ручной чистки, посмотрите пожалуйста, не было ли там еще чего.
PS: вчера же, с моего номера ICQ моим контактам был разослан спам, пароль на аську уже сменил. События с трояном на 99% не связаны, но тем не менее.
Последний раз редактировалось Kif62; 15.12.2009 в 11:24.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Добрался до компьютера, запустил браузер (FireFox) пока грузились вкладки зазвучала музыка (типа индийской или восточной песни), оказалась что открыта какая-то "левая" страница сомнительного содержания, страницу закрыл - музыка прекратилась. Выполнил скрипт, начал делать лог AVZ, при этом забыл отключить NOD32, сработал NOD с сообщением:
Bpeмя Moдуль Oбъeкт Имя Bиpуc Дeйcтвиe Пoльзoвaтeль Инфopмaция
16.12.2009 10:43:52 AMON файл C:\WINDOWS\system32\DRIVERS\asyncmac.sys Win32/Agent.QMR троян удален NIKOLAY\NIK Событие при попытке доступа к файлу приложением E:\TOOLS\AVIRUS\avz4\avz.exe.
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\Documents and Settings\NIK\DoctorWeb\Quarantine\~TM1A.tmp');
QuarantineFile('C:\Documents and Settings\NIK\DoctorWeb\Quarantine\~TM1A.tmp','');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security Microsoft MVP 2016 Reconnect
Перед выполнением скрипта в AVZ специально заглянул в папку "c:\Documents and Settings\NIK\DoctorWeb\Quarantine\" убедиться что файл ~TM1A.tmp там есть и он там был. Во время выполнения скрипта AVZ сообщала о каких-то ошибках, но перезагрузка помешала их прочесть. После перезагрузки этот файл из карантина DoctorWeb исчез, а в карантине AVZ его не оказалось, остались лишь файлы bcqr00001.ini и bcqr00002.ini с содержимым вида
Код:
[InfectedFile]
Src=\??\C:\Documents and Settings\NIK\DoctorWeb\Quarantine\~TM1A.tmp
Infected=bcqr00002.dat
Virus=BootCleaner quarantine
Size=0
CopyStatus=C0000034
самих файлов bcqr0000*.dat нет. Антивирус был все время отключен и его логи чистые, попытка восстановить "зловреда" с помощью программ восстановления тоже не увенчалась успехом.
Новые логи прилагаю.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: