Показано с 1 по 5 из 5.

Вирус спрятался (заявка № 81505)

  1. #1
    Junior Member Репутация
    Регистрация
    21.06.2010
    Сообщений
    18
    Вес репутации
    24

    Thumbs up Вирус спрятался

    Две недели назад на флешке Аваст убил autorun.inf, а после я узнал, что это был кусок от Kido, после чего убил на флешке папку Recycler. Больше Аваст на флешке ничего не находил. В системе, проверенной после этого три раза (Windows, Program Files), ничего не нашлось. Правда, три раза менялась дата файла wpa.dbl в папке Windows/system32 но новых файлов не появлялось. Последнее изменение было в день, когда на флешке была убита папке Recycler.

    Четыре дня назад на комп была какая-то атака с сайта *.com (имя я не помню). Разорвав соединение, я проверил системные папки (Windows, Program Files). Аваст ничего не нашёл. На следующий день в папке Windows/system32 (я её проверял, чтобы отловить хвост Kido) появились три экзешника с датой и временем включения компа. Я их перенёс на другой диск, переименовав в 01-03.txt и проверил системные папки снова. Аваст ничего не нашёл. На следующий день появились три новых экзешника. Я их снова преименовал в 04-06.txt и проверил эти шесть файлов. В одном из них Аваст нашёл вирус, который был тут же убит. После этого я проверил папку Documents and Settings и подпапке Local Setting/Temp нашёлся экзешник e.exe со свежей датой, в котором Аваст нашёл вирус, и этот файл был тут же убит. Полное сканирование всего системного диска ничего не дало, Аваст ничего не нашёл. Новых файлов в папке Windows/system32 не появлялось и файл wpa.dbl тоже перестал менять дату.

    В локалке мне посоветовали этот сайт, но я не смог на него зайти. При этом не открывался Гугль и его почта. Так продолжалось два дня, а сегодня я почистил и восстановил маршруты (если надо, напишу подробнее), после чего Гугль открылся и я сумел зайти на этот сайт.

    Прилагаю файлы отчёта программ.

    P.S. KidoKiller, запущенный перед AVZ, никаких вирусов на дисках (включая флешку) не нашёл.
    Вложения Вложения

  2. Реклама
     

  3. #2
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,526
    Вес репутации
    2915
    Это был не Kido.

    Пофиксите в HiJack
    Код:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,\\?\globalroot\systemroot\system32\uVG5NjP.exe,\\?\globalroot\systemroot\system32\1C5wydb.exe,\\?\globalroot\systemroot\system32\9K1wdM5.exe,\\?\globalroot\systemroot\system32\0FKhsbA.exe,
    Скачайте RSIT. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  4. #3
    Junior Member Репутация
    Регистрация
    21.06.2010
    Сообщений
    18
    Вес репутации
    24
    Скорей всего, это был какой-то Malware (как это следует из имени сайта с программой), да? Потому что это имя очень похоже на то, которое нашёл Аваст в папке DS/LS/Temp в файле e.exe (был убит сразу же) и в одном из переименованных мной в txt-вид файлов.

    Кстати, забыл уточнить. Файл wba.dbl перестал менять дату, когда я отключил восстановление системы (оно выключено и сейчас), чтобы удалить оттуда случайно попавшие хвосты зверя (если, конечно, они там были). Кроме того, когда не было доступа к гуглю и его почте, я по поиску Яндекса "wpa.dbl меняет дату" нашёл пару интересных ссылок, но вместо текста в центре этой пары ссылок появлялась какая-то картинка флеш-проигрывателя. Естественно, эти странички тут же закрывались. При этом Аваст молчал в обоих случаях. Тот же поиск на работе открыл эти же странички нормально, без этой картинки-плеера.

    Перед предполагаемыми действиями я вышел из сети и отключил Аваст.
    Строка в HiJack пофиксена.
    RSIT был скачан ещё на работе. Он был запущен с меткой "3 месяца". После начала работы соединение с сетью восстановилось само и оставалось всё время работы программы. По окончании было предложено его сохранить и я отключил соединение с сетью. Логи сохранились в папке c:\rsit. Прилагаю.
    Вложения Вложения
    • Тип файла: txt info.txt (7.7 Кб, 3 просмотров)
    • Тип файла: txt log.txt (14.1 Кб, 5 просмотров)

  5. #4
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,526
    Вес репутации
    2915
    Логи в порядке

    Установите SP3 (может потребоваться активация) + все новые патчи
    Установите Internet Explorer 8 (даже если им не пользуетесь)
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  6. #5
    Junior Member Репутация
    Регистрация
    21.06.2010
    Сообщений
    18
    Вес репутации
    24
    Правильно ли я понимаю, что "фиксация" удалила последние следы зловреда? Потому что меня очень смущает изменение даты файла wba.dbl. Неужели она обновляется каждый раз, после создания точки восстановления? И то, что процесс Аваста... AshWebSv.exe (? тот, что отслеживает активность Интернета) через какое-то время возрастал с 1.5 до 100 Кб.
    Последний раз редактировалось Egao; 23.06.2010 в 14:25.

  • Уважаемый(ая) Egao, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Лог AVZ,txt - спрятался
      От nbnfy в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 04.01.2012, 16:24
    2. Спрятался процесс.
      От SamsungC095 в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 19.02.2009, 04:09

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00807 seconds with 20 queries