Показано с 1 по 5 из 5.

Вирус спрятался (заявка № 81505)

  1. #1
    Junior Member Репутация
    Регистрация
    21.06.2010
    Сообщений
    42
    Вес репутации
    51

    Thumbs up Вирус спрятался

    Две недели назад на флешке Аваст убил autorun.inf, а после я узнал, что это был кусок от Kido, после чего убил на флешке папку Recycler. Больше Аваст на флешке ничего не находил. В системе, проверенной после этого три раза (Windows, Program Files), ничего не нашлось. Правда, три раза менялась дата файла wpa.dbl в папке Windows/system32 но новых файлов не появлялось. Последнее изменение было в день, когда на флешке была убита папке Recycler.

    Четыре дня назад на комп была какая-то атака с сайта *.com (имя я не помню). Разорвав соединение, я проверил системные папки (Windows, Program Files). Аваст ничего не нашёл. На следующий день в папке Windows/system32 (я её проверял, чтобы отловить хвост Kido) появились три экзешника с датой и временем включения компа. Я их перенёс на другой диск, переименовав в 01-03.txt и проверил системные папки снова. Аваст ничего не нашёл. На следующий день появились три новых экзешника. Я их снова преименовал в 04-06.txt и проверил эти шесть файлов. В одном из них Аваст нашёл вирус, который был тут же убит. После этого я проверил папку Documents and Settings и подпапке Local Setting/Temp нашёлся экзешник e.exe со свежей датой, в котором Аваст нашёл вирус, и этот файл был тут же убит. Полное сканирование всего системного диска ничего не дало, Аваст ничего не нашёл. Новых файлов в папке Windows/system32 не появлялось и файл wpa.dbl тоже перестал менять дату.

    В локалке мне посоветовали этот сайт, но я не смог на него зайти. При этом не открывался Гугль и его почта. Так продолжалось два дня, а сегодня я почистил и восстановил маршруты (если надо, напишу подробнее), после чего Гугль открылся и я сумел зайти на этот сайт.

    Прилагаю файлы отчёта программ.

    P.S. KidoKiller, запущенный перед AVZ, никаких вирусов на дисках (включая флешку) не нашёл.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Это был не Kido.

    Пофиксите в HiJack
    Код:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,\\?\globalroot\systemroot\system32\uVG5NjP.exe,\\?\globalroot\systemroot\system32\1C5wydb.exe,\\?\globalroot\systemroot\system32\9K1wdM5.exe,\\?\globalroot\systemroot\system32\0FKhsbA.exe,
    Скачайте RSIT. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  4. #3
    Junior Member Репутация
    Регистрация
    21.06.2010
    Сообщений
    42
    Вес репутации
    51
    Скорей всего, это был какой-то Malware (как это следует из имени сайта с программой), да? Потому что это имя очень похоже на то, которое нашёл Аваст в папке DS/LS/Temp в файле e.exe (был убит сразу же) и в одном из переименованных мной в txt-вид файлов.

    Кстати, забыл уточнить. Файл wba.dbl перестал менять дату, когда я отключил восстановление системы (оно выключено и сейчас), чтобы удалить оттуда случайно попавшие хвосты зверя (если, конечно, они там были). Кроме того, когда не было доступа к гуглю и его почте, я по поиску Яндекса "wpa.dbl меняет дату" нашёл пару интересных ссылок, но вместо текста в центре этой пары ссылок появлялась какая-то картинка флеш-проигрывателя. Естественно, эти странички тут же закрывались. При этом Аваст молчал в обоих случаях. Тот же поиск на работе открыл эти же странички нормально, без этой картинки-плеера.

    Перед предполагаемыми действиями я вышел из сети и отключил Аваст.
    Строка в HiJack пофиксена.
    RSIT был скачан ещё на работе. Он был запущен с меткой "3 месяца". После начала работы соединение с сетью восстановилось само и оставалось всё время работы программы. По окончании было предложено его сохранить и я отключил соединение с сетью. Логи сохранились в папке c:\rsit. Прилагаю.

  5. #4
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Логи в порядке

    Установите SP3 (может потребоваться активация) + все новые патчи
    Установите Internet Explorer 8 (даже если им не пользуетесь)
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  6. #5
    Junior Member Репутация
    Регистрация
    21.06.2010
    Сообщений
    42
    Вес репутации
    51
    Правильно ли я понимаю, что "фиксация" удалила последние следы зловреда? Потому что меня очень смущает изменение даты файла wba.dbl. Неужели она обновляется каждый раз, после создания точки восстановления? И то, что процесс Аваста... AshWebSv.exe (? тот, что отслеживает активность Интернета) через какое-то время возрастал с 1.5 до 100 Кб.
    Последний раз редактировалось Egao; 23.06.2010 в 14:25.

  • Уважаемый(ая) Egao, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Лог AVZ,txt - спрятался
      От nbnfy в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 04.01.2012, 16:24
    2. Спрятался процесс.
      От SamsungC095 в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 19.02.2009, 04:09

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00313 seconds with 19 queries