-
Junior Member
- Вес репутации
- 51
Вирус спрятался
Две недели назад на флешке Аваст убил autorun.inf, а после я узнал, что это был кусок от Kido, после чего убил на флешке папку Recycler. Больше Аваст на флешке ничего не находил. В системе, проверенной после этого три раза (Windows, Program Files), ничего не нашлось. Правда, три раза менялась дата файла wpa.dbl в папке Windows/system32 но новых файлов не появлялось. Последнее изменение было в день, когда на флешке была убита папке Recycler.
Четыре дня назад на комп была какая-то атака с сайта *.com (имя я не помню). Разорвав соединение, я проверил системные папки (Windows, Program Files). Аваст ничего не нашёл. На следующий день в папке Windows/system32 (я её проверял, чтобы отловить хвост Kido) появились три экзешника с датой и временем включения компа. Я их перенёс на другой диск, переименовав в 01-03.txt и проверил системные папки снова. Аваст ничего не нашёл. На следующий день появились три новых экзешника. Я их снова преименовал в 04-06.txt и проверил эти шесть файлов. В одном из них Аваст нашёл вирус, который был тут же убит. После этого я проверил папку Documents and Settings и подпапке Local Setting/Temp нашёлся экзешник e.exe со свежей датой, в котором Аваст нашёл вирус, и этот файл был тут же убит. Полное сканирование всего системного диска ничего не дало, Аваст ничего не нашёл. Новых файлов в папке Windows/system32 не появлялось и файл wpa.dbl тоже перестал менять дату.
В локалке мне посоветовали этот сайт, но я не смог на него зайти. При этом не открывался Гугль и его почта. Так продолжалось два дня, а сегодня я почистил и восстановил маршруты (если надо, напишу подробнее), после чего Гугль открылся и я сумел зайти на этот сайт.
Прилагаю файлы отчёта программ.
P.S. KidoKiller, запущенный перед AVZ, никаких вирусов на дисках (включая флешку) не нашёл.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Это был не Kido.
Пофиксите в HiJack
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,\\?\globalroot\systemroot\system32\uVG5NjP.exe,\\?\globalroot\systemroot\system32\1C5wydb.exe,\\?\globalroot\systemroot\system32\9K1wdM5.exe,\\?\globalroot\systemroot\system32\0FKhsbA.exe,
Скачайте RSIT. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
Скорей всего, это был какой-то Malware (как это следует из имени сайта с программой), да? Потому что это имя очень похоже на то, которое нашёл Аваст в папке DS/LS/Temp в файле e.exe (был убит сразу же) и в одном из переименованных мной в txt-вид файлов.
Кстати, забыл уточнить. Файл wba.dbl перестал менять дату, когда я отключил восстановление системы (оно выключено и сейчас), чтобы удалить оттуда случайно попавшие хвосты зверя (если, конечно, они там были). Кроме того, когда не было доступа к гуглю и его почте, я по поиску Яндекса "wpa.dbl меняет дату" нашёл пару интересных ссылок, но вместо текста в центре этой пары ссылок появлялась какая-то картинка флеш-проигрывателя. Естественно, эти странички тут же закрывались. При этом Аваст молчал в обоих случаях. Тот же поиск на работе открыл эти же странички нормально, без этой картинки-плеера.
Перед предполагаемыми действиями я вышел из сети и отключил Аваст.
Строка в HiJack пофиксена.
RSIT был скачан ещё на работе. Он был запущен с меткой "3 месяца". После начала работы соединение с сетью восстановилось само и оставалось всё время работы программы. По окончании было предложено его сохранить и я отключил соединение с сетью. Логи сохранились в папке c:\rsit. Прилагаю.
-
Логи в порядке
Установите SP3 (может потребоваться активация) + все новые патчи
Установите Internet Explorer 8 (даже если им не пользуетесь)
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
Правильно ли я понимаю, что "фиксация" удалила последние следы зловреда? Потому что меня очень смущает изменение даты файла wba.dbl. Неужели она обновляется каждый раз, после создания точки восстановления? И то, что процесс Аваста... AshWebSv.exe (? тот, что отслеживает активность Интернета) через какое-то время возрастал с 1.5 до 100 Кб.
Последний раз редактировалось Egao; 23.06.2010 в 14:25.