-
Видимо новая дрянь...
Доброго времени суток. Только что наткнулся видимо на новый вид вируса, который еще не известен Антивирусу Касперского. Итак.
Имеем WinXP sp3. KIS 2009 с последними базами.
Работаю в интернете. Все нормально. Но вдруг бабах - появляется досовское окно. Касперский предупреждает о том, что какое-то приложение успешно добавлено в слабые ограничения... Окно закрывается... Еще одно приложение... Запускается файл DEL.bat
.............
Собственно после этого тишина. Но под сомнения меня все это поставило.
Сканирую все каспером - все чисто.
Захожу в мсконфиг - там в автозагрузке (HKLM/software/microsoft/windows/current version/run) файл. Лежит в корне C:\Program Files
Называется plugin.exe - подозрительно не правда ли? С учетом, что я вроде не совсем дурак в компах, и такого файла явно не ставил. В свойствах его Неро Хоме... Вообщем нерой прикидывается, но значок обычного анинсталлера.
Хм. До этого - этой строчки в автозагрузке не было. У меня там вообще было мало чего... Поковырял логи каспера - нашел то что у меня запускалось.
Сложил в папочку. Удалил на всякий случай из C:\Documents and Settings\Admin\Local Settings\Temp там че создалось за ближайшие пару часов...
Проверил все что собрал еще раз каспером - не алле. Все чисто (очень странно, программа сама запускается делает все что хочешь из C:\Documents and Settings\Admin\Local Settings\Temp а безопасна...).
Дальше больше. Проверил себя ХайДжеком. Удивила автозагрузка. Не очень понял откуда там всего столько...
Вообщем прилагаю логи какие нужны в правилах темы. По запросу могу отправить скриншот каспера - то что запускалось... И отдельным архивом те самые файл которые считаю мегаподозрительными.
Боюсь перезагружаться. От старта всех этих дейтвий до нынешнего момента НЕ перезагружал компьютер.
Просьба посмотреть логи и решить что делать. Если подтвердите что все чисто - перезагружусь и если все ок - отправлю файлы, которые считаю очень подозрительными на проверку.
Особенно напрягает автозагрузка лога Хайджека... Помогите пожалуйста.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Закройте все программы. Запустите AVZ. Выполните скрипт через меню Файл:
Код:
begin
ExecuteWizard('TSW', 2, 2, true);
QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\sgxR.exe','');
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите файлы из карантина AVZ (см. приложение 3 Правил), используя ссылку Прислать запрошенный карантин, вверху этой темы.
-
-
Отправл карантин.
Результат загрузки
Файл сохранён как 091231_150929_virus_4b3c947993e0a.zip
Размер файла 30204
MD5 afe9874c90f99425d0962a9404534733
Надеюсь это поможет в будущем предотвратить беду.
После перезагрузки никаких следов от вируса не обнаружено.
-
Закройте все программы. Запустите AVZ. Выполните скрипт через меню Файл:
Код:
begin
SetAVZGuardStatus(True);
DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\sgxR.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Netprotocol\Parameters','ServiceDll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Обновите базы AVZ.
Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.
Базы антивуруса обновите.
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\admin\рабочий стол\virus\sgxr.exe - Backdoor.Win32.Buterat.cr ( DrWEB: Trojan.Click.37869 )
-
