Подхватил заразу из интернета. Ни с того, ни с сего windows firewall запросил разрешения выйти в интернет для приложения "explorer" (не iexplore). Отказал. В таск менеджере тем временем обнаружился процес 5C.tmp, громко хрустя винтом. Убил процесс. Спустя немного завелся еще один - builder.exe. Снова убил. Запустил AVZ - посмотреть чё к чему. Лог AVZ был весь сплошь красным, вероятно от столь низкого падения нравов Основные притензии - перехват функций ядра, коды руткита. Всего этого не было месяц назад - вот тема http://virusinfo.info/showthread.php?t=88551
Пожалуйста помогите.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
На всякий случай прикладываю еще два лога AVZ - первого и второго сканирования. И архив с упомянутыми файлами 5С.tmp и builder.exe (ко всем именам файов и папок добавлены собаки в начале и в конце, пароль на архив - virus)
Последний раз редактировалось thyrex; 25.10.2010 в 22:14.
Причина: Удалил ненужные вложения
Но это не всё. К счастью, сегодня проснулся Semantec и стал ловить при входе в систему в юзерском темпе файлы вида XX.tmp . Он их удаляет безвозвратно, так что прислать их не могу, но кое какие следы все-же остаются - прилагаю пару архивов с подозрительными вещами из пользовательской временной директории. Да, забыл сказать, Semantec обзывает то, что он ловит Backdoor.Sheedash . Первый приложеный архив - вход в систему до выполнения скрипта, второй - после перезагрузки сразу после выполнения скрипта.
Да, конечно, просто отвлёкся от процесса. Лог этого инструмента мне очень нравиться, просто руки чешутся этих бяк покрошить - D:\Program Files\Outlook Express\rasadhlp.dll (уже был в прошлый раз) и D:\Documents and Settings\victor\Application Data\Paezg\veik.exe . А вот этот файл D:\Documents and Settings\victor\Start Menu\Programs\Startup\syscron.exe не вижу почему то...
Выполнено. Вот новые логи.
Единственное, что напрягает, это строчки в логе AVZ:
----------
обнаружена подмена PID (текущий PID=0, реальный = 3760)
Маскировка драйвера: Base=EE5B6000, размер=131072, имя = "\SystemRoot\system32\DRIVERS\nvcap.sys"
----------
Раньше (в здоровом состояние) этого не было.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: