Вложений: 3
Последствия заражения. Не обновляется KIS.
[COLOR=black][FONT=Verdana]Добрый день.[/FONT][/COLOR]
[COLOR=black][FONT=Verdana]К сожалению, на ваш сайт набрел не сразу, поэтому порядок сбора информации и лечения очень сильно отличается от принятого у вас (читай, имена не были зафиксированы, и удалялось все в тот момент, как только находилось, всеми доступными способами).[/FONT][/COLOR]
[COLOR=black][FONT=Verdana]ОС: Vista HP SP1 (легальная) со всеми актуальными на прошлую среду обновлениями.[/FONT][/COLOR]
[COLOR=black][FONT=Verdana]Как было дело (чую, что вся эта писанина вам не понадобится, так как в логах все происходящее сейчас будет описано, но вдруг…): [/FONT][/COLOR]
[COLOR=black][FONT=Verdana]Во время последнего вэбсерфинга KIS7 трижды предупреждал о попытках загрузки троянов. Все три раза руками загрузка была запрещена. По окончании пользования эксплорером машина не ушла в гибернайт и не стала "завершать работу" через кнопку "пуск". От греха подальше комп был выключен долгим нажатием на "power".[/FONT][/COLOR]
[COLOR=black][FONT=Verdana]Утром при включении винда объявила о том, что "касперский" совершил ошибку и будет закрыт. Ребуты и попытки запуска руками ни к чему не привели. Так же перестали грузиться сайты Касперского в зоне ком (касперский.ру грузился, только это не спасало - у них даже картинки оформления сайтов на kaspersky.com лежат, не то что дистибутивы продуктов), eset.com, windows_update и как позже выяснилось z-oleg.com. Остальные сайты в зоне "com" работали.[/FONT][/COLOR]
[FONT=Calibri][SIZE=3]Так как из всех вендоров первым я смог войти на сайт Dr.Web, с его антивируса я и начал. Были найдены BlackDoor в c:\autorun.inf и \\windows\system32\ ”много_латинских_букв».dll , и еще что-то в c:\RECYCLED\ с разнообразным содержимым. Так как антивирус безбожно завис в последней четверти исследования процесс сканирования был остановлен, а все найденное было удалено через shift+del руками, заодно с еще не обнаруженным d:\RECYCLED\. После ребута согласился поставиться и зарегиться тестовый KAV8. Обновляться нормальным путем он не захотел. Проверка машины КАВом прошла до конца, ничего более найдено не было. [/SIZE][/FONT]
[FONT=Calibri][SIZE=3]Так как надо было восстанавливать работоспособность системы, поиском в инете была найдена AVZ4. Восстанавливать ВиндоусАпдэйт она не стала, а нашла два файла трояна Kuyak (или что-то вроде того) и с десяток подозрений на онлайн геймер троян и еще что-то. К чести программы надо сказать, что она успешно зачистила все «подозрения», хотя и не стала трогать два инфицированных файла (при попытке их вылечить\удалить программа ссылалась на то, что для удаления нужна перезагрузка, только сама программа ее делать не собиралась, а ребут системы на этой стадии не к чему не приводил). Файлы были удалены руками (один был в КЭШе ВиндовсЛайф, а другой в Виндовс\Инсталлер). [/SIZE][/FONT]
[FONT=Calibri][SIZE=3]С этого момента сканирование различными АВП больше ничего не показывает.[/SIZE][/FONT]
[FONT=Calibri][SIZE=3]Из того, что сейчас не нормально в системе:[/SIZE][/FONT]
[FONT=Calibri][SIZE=3]Не грузятся\находятся_в_сети сайты kaspersky.com, eset.com, update.microsoft.com, z-oleg.com.[/SIZE][/FONT]
[FONT=Calibri][SIZE=3]Какие-то проблемы с рабочим столом - архивы не удаляются полностью, остаются висеть пустыми папками.[/SIZE][/FONT]
[FONT=Calibri][SIZE=3]Происходят действия похожие на выполнение стороннего скрипта «нажатие на кнопку в программе», то есть текстовый редактор, иногда переставляет курсор вслед за указателем мыши.[/SIZE][/FONT]
Что ремонтировать?
