Показано с 1 по 10 из 10.

Подозрение на вирусы... (заявка № 98444)

  1. #1
    Junior Member Репутация
    Регистрация
    14.06.2009
    Адрес
    Нижний Новгород
    Сообщений
    142
    Вес репутации
    28

    Thumbs up Подозрение на вирусы...

    Здравствуйте!
    Случайно обнаружил, что на карте памяти моего телефона появился авторанер и непонятный .pif - файл с рандомным(набор букв) именем. Выяснилось это случайно, путём подключения телефона к компьютеру в режиме "Карта памяти": KIS2010 предложил произвести обычную в этом случае проверку файлов на съёмном носителе и в процессе "Быстрой проверки" обнаружил авторанера. Удалил. На тот самый файл с расширением .pif ругаться не стал.. Я переименовал расширение файла в .txt на самом телефоне при помощи X-Plore и просмотрел его содержимое(там же, на телефоне). В глаза сразу бросилась строка "Hello world!"(буквы были разделены разными значками).. Насколько помню, данная строка появлялась в описании к файловому вирусу Win32.Sality... Самое интересное, что телефон в режиме "Съёмный носитель" не подключался уже очень давно - в основном, в режме PCSuite и именно к тому компьютеру, где сработал KIS... Загадки, да и только...
    Произвёл он-лайн проверку на сайте Лаборатории Касперского и сайте Доктор Вэб: результат - "нулевой".. На ВирусТотале - идентифицирован 13/43.. Если вам понадобится "образец" - могу прислать: копия ещё есть.
    Хочу теперь убедиться, что на компьютере ничего от Салити нет... Сделал необходимые логи, прилагаю:
    Best regards & 73!

  2. Реклама
     

  3. #2
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,043
    Вес репутации
    1254
    Здравствуйте!

    Закройте все программы
    Отключите
    - ПК от интернета/локалки.
    - Антивирус и Файрвол
    - Системное восстановление

    Выполните скрипт в АВЗ -

    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
     QuarantineFile('C:\WINDOWS\system32\drivers\df.sys','');
     QuarantineFile('C:\Program Files\teraterm\ttptek.dll','');
     QuarantineFile('C:\System Volume Information\_restore{33A6B616-2561-409B-81D6-9E9F63C76601}\RP218\A0175182.pif','');
     DeleteFile('C:\System Volume Information\_restore{33A6B616-2561-409B-81D6-9E9F63C76601}\RP218\A0175182.pif');  
     BC_ImportAll;
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    После перезагрузки:
    - выполните такой скрипт

    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.

    - Сделайте лог Гмер

  4. #3
    Junior Member Репутация
    Регистрация
    14.06.2009
    Адрес
    Нижний Новгород
    Сообщений
    142
    Вес репутации
    28
    Скрипт выполнен. Карантин создан и отправлен:
    Файл сохранён как 110221_134724_quarantine_4d6242bcebe43.zip
    Размер файла 238316
    MD5 f3b383e79f897f9e8a124ac6ab6c0249

    Gmer в процессе экспресс-проверки обнаружил скрытый процесс(см. скриншот). При запуске полного сканирования на проверке драйвера Ntfs.sys - дважды вылетает в BSOD... Попробую третий раз - если снова произойдёт такой же затык - смогу приложить только лог экспресс-проверки...
    Последний раз редактировалось Hamrad; 21.02.2011 в 14:01.
    Best regards & 73!

  5. #4
    Junior Member Репутация
    Регистрация
    14.06.2009
    Адрес
    Нижний Новгород
    Сообщений
    142
    Вес репутации
    28
    Лог от Гмера получен... Сканирование шло очень долго и в конце, когда сохранял лог, компьютер повис намертво. После ребута лог, слава Богу, оказался на месте...
    Прикладываю:

    P.S. Странно, KIS постоянно включён и регулярно обновляется, тем не менее, зараза попала-таки...
    Best regards & 73!

  6. #5
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,043
    Вес репутации
    1254
    - Сохраните текст ниже как 1.bat в ту же папку, где находится gmer.exe(GMER) и запустите этот батник(1.bat):

    Код:
    gmer.exe -del service yqjppud
    gmer.exe -del file "C:\WINDOWS\system32\jsnyyxe.dll"
    gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\yqjppud"
    gmer.exe -del reg "HKLM\SYSTEM\ControlSet005\Services\yqjppud"
    gmer.exe -reboot
    Компьютер перезагрузится.

    После перезагрузки:
    - Сделайте повторные логи АВЗ

  7. #6
    Junior Member Репутация
    Регистрация
    14.06.2009
    Адрес
    Нижний Новгород
    Сообщений
    142
    Вес репутации
    28
    Гмер отработал с ошибками наподобие "Не найден указанный модуль". После перезагрузки запустил Гмер на экспресс-анализ: руткит-активности вроде не выявлено... Нужен ли новый лог от Гмера?
    KIS не может завершить операцию обновления баз - завершается с соответствующей ошибкой.
    Новые логи AVZ и HiJackThis прилагаю:
    Best regards & 73!

  8. #7
    Junior Member Репутация
    Регистрация
    14.06.2009
    Адрес
    Нижний Новгород
    Сообщений
    142
    Вес репутации
    28
    KIS по-прежденму не может обновиться; откат к предыдущей версии вирусной базы не помог. Интерент работает с "тормозами"... В Диспетчере Задач "левых" процессов не висит...
    Best regards & 73!

  9. #8
    Junior Member Репутация
    Регистрация
    14.06.2009
    Адрес
    Нижний Новгород
    Сообщений
    142
    Вес репутации
    28
    Проблема с обновлением KIS-а решилась путём переустановки программы. Попробовал просмотреть логи самостоятельно - вроде бы ничего плохого не заметил.. На всякий случай отправил вам по красной ссылке тот самый подозрительный pif-файл:

    Файл сохранён как 110222_100627_EWVRNX.pif_4d63607395ce2.zip
    Размер файла 7504
    MD5 9c304c486ccb1d9bb4fda7252e85c4e5
    Best regards & 73!

  10. #9
    Junior Member Репутация
    Регистрация
    14.06.2009
    Адрес
    Нижний Новгород
    Сообщений
    142
    Вес репутации
    28
    Тему можно закрывать за давностью.
    Новые угрозы не обнаружены.
    Всем спасибо!
    Best regards & 73!

  11. #10
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,552
    Вес репутации
    942

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 7
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) Hamrad, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Подозрение на вирусы
      От Кирсан в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 26.10.2010, 13:54
    2. Подозрение на вирусы!!!
      От legat71 в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 02.09.2010, 19:34
    3. подозрение на вирусы
      От wheeller в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 03.10.2009, 21:35
    4. Подозрение на вирусы
      От Алла в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 22.02.2009, 05:03
    5. Подозрение на вирусы
      От adanbaev в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 27.10.2008, 20:04

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00536 seconds with 20 queries