-
Junior Member
- Вес репутации
- 52
Подозрение на вирус
Добрый день! Пару дней назад, работая в интернете, получил сообщение от Outpost о попытке запуска процессов. Не обратив внимания, дважды щелкнул разрешить, и только получив "Внедрение в память" понял, что что-то не так. Лог Outpost'а:
01.02.2010 1:57:08 Заблокировать UDPATE.LIN Внедрение в память процесса C:\WINDOWS\SYSTEM32\SVCHOST.EXE
01.02.2010 1:57:08 Заблокировать UDPATE.LIN Внедрение в память процесса C:\WINDOWS\SYSTEM32\SVCHOST.EXE
01.02.2010 1:56:58 Разрешить UDPATE.LIN Запуск сетевого приложения c:\windows\system32\svchost.exe
01.02.2010 1:56:53 Разрешить UDPATE.LIN Запуск сетевого приложения c:\windows\system32\cmd.exe
Файл udpate.lin на всякий случай сохранил (его посылал на разные онлайн-проверки в DrWeb и на Kaspersky - говорят, что чисто, только McAfee сказал о Heuristic.BehavesLike.Win32.Obfuscated.I и кто-то еще о подозрении на какой-то вирус).
Проверил с помощью AVZ получил сообщение "Модифицирован ключ запуска проводника" и "Отключить режим ограниченнного запуска программ". Эти проблемы исправил с помощью "Мастера поиска и устранения проблем". Но подозреваю, что это еще не все и возможно есть и другие проблемы.
Помогите, пожалуйста.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
-
-
Junior Member
- Вес репутации
- 52
Спасибо за ответ. Установил MBAM и выполняю проверку. Пока что говорит об 1 зараженном объекте (если не ошибаюсь это случилось на проверке реестре). Папку Windows уже прошли, проверяется Documents and Settings.
Есть ли смысл проверять диск D? Там по идее никаких системых файлов нет - только инсталяции и рабочие файлы. (Просто он в 10 раз больше и если проверка C за 30 мин не закончилась, то можно представить сколько будет проверяться D).
-
Думаю, что можно остановиться на диске с:
-
-
Junior Member
- Вес репутации
- 52
Вложение 213343
Последние две строки - я тоже когда-то раньше сохранял несколько файлов, которые собирались запускаться, чтобы отправить их на онлайн-проверку. Там же находился и udpate.lin (на него MBAM ругаться не стал).
-
Удалите в MBAM
Код:
Заражено ключей реестра:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{2ff811e6-8925-4084-a649-c159955e67e8} (Trojan.BHO) -> No action taken.
D:\tmp\3E.tmp (Trojan.Hegeny) -> No action taken.
D:\tmp\52.tmp (Backdoor.Bot) -> No action taken.
C:\Documents and Settings\Катя\Мои документы\VNet\vkontakte84.exe--это Вам знакомо?
-
-
Junior Member
- Вес репутации
- 52
Сообщение от
shapel
Удалите в MBAM
Код:
Заражено ключей реестра:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{2ff811e6-8925-4084-a649-c159955e67e8} (Trojan.BHO) -> No action taken.
D:\tmp\3E.tmp (Trojan.Hegeny) -> No action taken.
D:\tmp\52.tmp (Backdoor.Bot) -> No action taken.
C:\Documents and Settings\Катя\Мои документы\VNet\vkontakte84.exe--это Вам знакомо?
Вроде бы его скачивали, но не запускали - думаю, можно тоже удалить на всякий случай.
-
Сообщение от
vetal_n
Вроде бы его скачивали, но не запускали - думаю, можно тоже удалить на всякий случай.
Удалите. Больше в логах подозрительного не увидел
-
-
Junior Member
- Вес репутации
- 52
Сообщение от
shapel
Удалите. Больше в логах подозрительного не увидел
Спасибо за помощь и внимание к проблеме.Хотел бы узнать только на будущее - нет ли опасности в строках вроде"Функция user32.dll:ChangeDisplaySettingsExA (34) перехвачена, метод APICodeHijack.JmpTo[1009F56E]""\FileSystem\FastFat[IRP_MJ_CREATE] = 873D61F8 -> перехватчик не определен"
-
Сообщение от
vetal_n
Хотел бы узнать только на будущее - нет ли опасности в строках вроде"Функция user32.dll:ChangeDisplaySettingsExA (34) перехвачена, метод APICodeHijack.JmpTo[1009F56E]""\FileSystem\FastFat[IRP_MJ_CREATE] = 873D61F8 -> перехватчик не определен"
Нет.
-
-
Junior Member
- Вес репутации
- 52
Сообщение от
shapel
Нет.
Еще раз большое спасибо.