Показано с 1 по 11 из 11.

Подозрение на недолеченный вирус (заявка № 75850)

  1. #1
    Junior Member Репутация
    Регистрация
    10.04.2010
    Сообщений
    10
    Вес репутации
    25

    Question Подозрение на недолеченный вирус

    Здравствуйте. Пару дней назад друг принес флешку с программой, которую он попросил перевести. Как оказалось чуть позже - с вирусом, причем KAV7 ничего не обнаружил. Так как у меня запрещен автозапуск с флешек, вирус не запустился, был найден мной, и принудительно проверен касперским еще раз. Результат - нулевой. Отправил на вирустотал, там результат был лучше - 34 антивируса среагировали. Отправил я этот вирус через вебформу в лабораторию, после чего благополучно о нем забыл. Стал устанавливать собственно, саму программу, которую требовалось перевести, перед этим проверив и её на вирусы. В процессе установки проактивная защита среагировала на скрытую установку, которую я естественно запретил и сделал откат изменений, так же нашло трояна в распакованном инсталле. Вроде всё почистил, но с того дня стал замечать что-то неладное. Сегодня при запуске браузера опять среагировала проактивная защита - файл без расширений из C:\Temp попытался внедрится в процесс браузера. Запретил, сделал откат изменений, проверил сам файл - чисто. На вирустотале результат - 3. Отправил его письмом в Лабораторию Касперкого, ответа (кроме автоматического) пока не получил. Чуть позже заметил появление лишних двух svchost, на которых через проверку tasklist /svc не висело ни одной службы. Убил вручную оба лишних, один через время сам запустился, и стал отъедать около 20 мб памяти. Обновил базы KAV, сделал полную проверку - результата ноль (кроме пары утилит, которые я сам занес в доверенные) Тогда проверился с помощью AVZ, который нашел в потоке NTFS исполняемый файл, прикрепленный к svchost.exe. Логи и проверку системы, а так же карантин AVZ прикрепляю. Подскажите, вирус ли это, и как его, падлюку такую обезвредить. Заранее спасибо за помошь.
    Вложения Вложения
    Последний раз редактировалось pig; 11.04.2010 в 00:00. Причина: карантин в теме неуместен

  2. Реклама
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1288
    Логи не те.
    Внимательно прочитать, аккуратно выполнить
    virus.zip пришлите по правилам, через красную ссылку.

  4. #3
    Junior Member Репутация
    Регистрация
    10.04.2010
    Сообщений
    10
    Вес репутации
    25
    Извиняюсь, я новичок на форуме. Вот нужные логи.
    Вложения Вложения

  5. #4
    Junior Member Репутация
    Регистрация
    10.04.2010
    Сообщений
    10
    Вес репутации
    25
    Вот еще посоветовали сделать проверку Gmer, лог прилагаю, нашло руткит.
    Вложения Вложения
    • Тип файла: log gmer.log (213.9 Кб, 6 просмотров)

  6. #5
    Junior Member Репутация
    Регистрация
    10.04.2010
    Сообщений
    10
    Вес репутации
    25
    Извиняюсь конечно, я знаю, что тут мне никто ничем не обязан, но подниму тему вверх, а то вообще никакой реакции нету.

    Добавлено через 3 часа 17 минут

    Еще раз подниму тему.
    Последний раз редактировалось Inquisitоr; 11.04.2010 в 13:24. Причина: Добавлено

  7. #6
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,582
    Вес репутации
    2916
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('c:\windows\system32\svchost.exe:ext.exe:$DATA','');
     DeleteFile('c:\windows\system32\svchost.exe:ext.exe:$DATA');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  8. #7
    Junior Member Репутация
    Регистрация
    10.04.2010
    Сообщений
    10
    Вес репутации
    25
    Карантин прислал:
    Файл сохранён как 100412_074343_virus_4bc296ef8ff7a.zip
    Размер файла 33551
    MD5 72cf70e6f002e51ee83d967bf80d289f
    Логи тоже приложил. Судя по ощущениям, все чисто, лишних процессов не заметно. Большое Вам спасибо. Скажите, а можно узнать, что делал этот руткит? Т.е. стоит ли массово менять пароли?
    Вложения Вложения

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    524
    в логах чисто.
    можете проделать процедуру описанную в первом сообщении тут

    Обновитесь
    - Установите Internet-Explorer 8.(даже если Вы его не используете)
    - поставте все последние обновления системы Windows - тут
    - Обновите Java .

  10. #9
    Junior Member Репутация
    Регистрация
    10.04.2010
    Сообщений
    10
    Вес репутации
    25
    Файлы прислал, Java и IE устанавливаю, спасибо за помошь!

    Добавлено через 9 минут

    Цитата Cyber Helper'a из раздела [Для всех желающих нам помочь]
    Внимание, в архиве обнаружены опасные или вредоносные объекты:
    C:\Program Files\Hfs\hfs.exe: not-a-virus:Server-FTP.Win32.SFH.dc

    Вопрос - почему мини-сервер считается вредоносным объектом?
    Последний раз редактировалось Inquisitоr; 12.04.2010 в 08:22. Причина: Добавлено

  11. #10
    Junior Member Репутация
    Регистрация
    10.04.2010
    Сообщений
    10
    Вес репутации
    25
    И еще, скажите пожалуйста, это нормально, что неизвестный процесс периодически соединяется с рандомными адресами? (см. скриншот)
    Изображения Изображения

  12. #11
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,552
    Вес репутации
    942

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 11
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\documents and settings\admin\рабочий стол\*\новая папка (2)\brewers.exe - Trojan.Win32.Genome.hvny
      2. c:\windows\system32\svchost.exe:ext.exe:$data - Trojan.Win32.Agent.drmu ( DrWEB: Trojan.Inject.8402, BitDefender: Trojan.Fakealert.8469, AVAST4: Win32:Rootkit-gen [Rtk] )


  • Уважаемый(ая) Inquisitоr, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Недолеченный комп
      От Cat_In_Black в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 25.11.2010, 10:12
    2. Недолеченный ekav
      От Mishelik в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 13.01.2010, 22:39
    3. Недолеченный iLite Net Accelerator
      От Maксим в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 27.12.2009, 15:33
    4. Подозрение на недолеченный Win32/Virut
      От dimon_222 в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 02.10.2009, 22:56
    5. Недолеченный Notebook
      От Мiшелька в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 22.02.2009, 06:42

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00433 seconds with 23 queries