-
Junior Member
- Вес репутации
- 52
Подозрение на недолеченный вирус
Здравствуйте. Пару дней назад друг принес флешку с программой, которую он попросил перевести. Как оказалось чуть позже - с вирусом, причем KAV7 ничего не обнаружил. Так как у меня запрещен автозапуск с флешек, вирус не запустился, был найден мной, и принудительно проверен касперским еще раз. Результат - нулевой. Отправил на вирустотал, там результат был лучше - 34 антивируса среагировали. Отправил я этот вирус через вебформу в лабораторию, после чего благополучно о нем забыл. Стал устанавливать собственно, саму программу, которую требовалось перевести, перед этим проверив и её на вирусы. В процессе установки проактивная защита среагировала на скрытую установку, которую я естественно запретил и сделал откат изменений, так же нашло трояна в распакованном инсталле. Вроде всё почистил, но с того дня стал замечать что-то неладное. Сегодня при запуске браузера опять среагировала проактивная защита - файл без расширений из C:\Temp попытался внедрится в процесс браузера. Запретил, сделал откат изменений, проверил сам файл - чисто. На вирустотале результат - 3. Отправил его письмом в Лабораторию Касперкого, ответа (кроме автоматического) пока не получил. Чуть позже заметил появление лишних двух svchost, на которых через проверку tasklist /svc не висело ни одной службы. Убил вручную оба лишних, один через время сам запустился, и стал отъедать около 20 мб памяти. Обновил базы KAV, сделал полную проверку - результата ноль (кроме пары утилит, которые я сам занес в доверенные) Тогда проверился с помощью AVZ, который нашел в потоке NTFS исполняемый файл, прикрепленный к svchost.exe. Логи и проверку системы, а так же карантин AVZ прикрепляю. Подскажите, вирус ли это, и как его, падлюку такую обезвредить. Заранее спасибо за помошь.
Последний раз редактировалось pig; 11.04.2010 в 00:00.
Причина: карантин в теме неуместен
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Логи не те.
Внимательно прочитать, аккуратно выполнить
virus.zip пришлите по правилам, через красную ссылку.
-
-
Junior Member
- Вес репутации
- 52
Извиняюсь, я новичок на форуме. Вот нужные логи.
-
Junior Member
- Вес репутации
- 52
Вот еще посоветовали сделать проверку Gmer, лог прилагаю, нашло руткит.
-
Junior Member
- Вес репутации
- 52
Извиняюсь конечно, я знаю, что тут мне никто ничем не обязан, но подниму тему вверх, а то вообще никакой реакции нету.
Добавлено через 3 часа 17 минут
Еще раз подниму тему.
Последний раз редактировалось Inquisitоr; 11.04.2010 в 13:24.
Причина: Добавлено
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\svchost.exe:ext.exe:$DATA','');
DeleteFile('c:\windows\system32\svchost.exe:ext.exe:$DATA');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
Карантин прислал:
Файл сохранён как 100412_074343_virus_4bc296ef8ff7a.zip
Размер файла 33551
MD5 72cf70e6f002e51ee83d967bf80d289f
Логи тоже приложил. Судя по ощущениям, все чисто, лишних процессов не заметно. Большое Вам спасибо. Скажите, а можно узнать, что делал этот руткит? Т.е. стоит ли массово менять пароли?
-
в логах чисто.
можете проделать процедуру описанную в первом сообщении тут
Обновитесь
- Установите Internet-Explorer 8.(даже если Вы его не используете)
- поставте все последние обновления системы Windows - тут
- Обновите Java .
-
-
Junior Member
- Вес репутации
- 52
Файлы прислал, Java и IE устанавливаю, спасибо за помошь!
Добавлено через 9 минут
Цитата Cyber Helper'a из раздела [Для всех желающих нам помочь]
Внимание, в архиве обнаружены опасные или вредоносные объекты:
C:\Program Files\Hfs\hfs.exe: not-a-virus:Server-FTP.Win32.SFH.dc
Вопрос - почему мини-сервер считается вредоносным объектом?
Последний раз редактировалось Inquisitоr; 12.04.2010 в 08:22.
Причина: Добавлено
-
Junior Member
- Вес репутации
- 52
И еще, скажите пожалуйста, это нормально, что неизвестный процесс периодически соединяется с рандомными адресами? (см. скриншот)
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 11
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\admin\рабочий стол\*\новая папка (2)\brewers.exe - Trojan.Win32.Genome.hvny
- c:\windows\system32\svchost.exe:ext.exe:$data - Trojan.Win32.Agent.drmu ( DrWEB: Trojan.Inject.8402, BitDefender: Trojan.Fakealert.8469, AVAST4: Win32:Rootkit-gen [Rtk] )
-