проверьте пожалуйста логи

[schmoltz]

Добрый день,

Вчера получил троян через скайп. Зараженный аккаунт друга рассылал всем контактам файл с именем скайп юзера и расширением .scr. По несчастливому совпадению, я примерно в это время ждал текстовый файл от другого пользователя, и поспешил обрадоваться что это наверно он, и принял и открыл этот файл, прежде чем подумал что это. Постоянно обновляемые zonealarm и nod32 никак не реагировали, через пол-часа мой скайп сам стал рассылать всем моим контактам файл с именем моего скайп юзера и расширением .scr.

Сканирование нодом и zonealarm'ом ничего не выяывило, просканировал систему при помощи Trend Micro Housecall (1 зараженный файл удален), Malwarebytes' Anti-Malware (6 зараженных фалов) и Kaspersky AVPTool (1 зараженный файл удален). После этого ничего больше выявлено не было, сделал сканирование системы в соответствии с правилам. Логи прикрепляю.

[Никита Соловьев]

В логах чисто,
Установите SP3 + все последние обновления безопасности (может потребоваться повторная активация), обновите Interet Explorer до 8 версии

[schmoltz]

спасибо за быстрый ответ, будем обновляться.

[schmoltz]

здравствуйте снова.

снова начали активизироваться трояны и посторонние процессы на компьютере через неделю после первого поста, честно говоря не уверен связаны ли эти два случая, тем не менее.

проблема сначала проявилась тем, что каким-то образом само просило запуститься отключенное восстановление системы, процесс этот я убивал, после перезагрузки он еще пару раз возобновлялся. в то же время фаервол zonealarm стал извещать о том что якобы nod32, а точнее приложение ekrn.exe из его папки, пытается рассылать подозрительные имейлы - более 5 штук за 2 секунды. пытался запретить нажимая deny, но в скором времени это оповещение стало появляться постоянно, независимо разрешаешь или запрещаешь этот процесс. никаких поверхностных следов того что я рассылаю пачками имейлы не нашел.

вскорости nod32 стал обнаруживать и изолировать файлы, просканировал и удалил еще по пару зараженных файлов при помощи malwarebytes, micro trends housecall, после каждой перезагрузки обнаруживается еще что-то каждым из этих средств.

в соответствии с правилами прогнал в безопасном режиме AVPTool, потом сделал логи. посмотрите пожалуйста.

и да, снова фаервол zonealarm выдает сообщения одно за одним что приложение eset service ekrn.exe, одно из экзешек в папке ESET NOD32 Antivirus пытается слать имейлы.

[Никита Соловьев]

Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):

Код:

begin
 DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('C:\WINDOWS\system32\restorer32_a.exe','');
 QuarantineFile('C:\Documents and Settings\Администратор\restorer32_a.exe','');
 QuarantineFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\iidwin32.exe','');
 DeleteFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\iidwin32.exe');
 DeleteFile('C:\Documents and Settings\Администратор\restorer32_a.exe');
 DeleteFile('C:\WINDOWS\system32\restorer32_a.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','restorer32_a');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','restorer32_a');
 BC_ImportDeletedList;
 ExecuteSysClean;
 BC_Activate;
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится
Файл quarantine.zip закачайте по ссылке прислать запрошенный карантин вверху темы

Сделайте новые логи

[schmoltz]

карантин закачан, вот свежие логи:

[Никита Соловьев]

Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 DeleteFile('C:\WINDOWS\system32\regedit.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Regedit32');
 BC_ImportDeletedList;
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится

Сделайте новый лог virusinfo_syscheck.zip

[schmoltz]

готово. новый syscheck:

[Никита Соловьев]

Что с проблемой?

[schmoltz]

пока все тихо, нод32 зараженных файлов сразу после перезагрузки не находит, поставил на сканирование, пока ничего не обнаружило. про несанкционированную рассылку имейлов приложением ekrn.exe тоже ничего больше нету. процесса восстанавливающего system restore тоже больше не видно.

отпишу по состоянию когда просканирую всеми доступными средствами или проявятся старые или новые признаки проблемы.

а что показал последний лог?

[Никита Соловьев]

В логе чисто

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 3
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\documents and settings\администратор\restorer32_a.exe - Trojan-Downloader.Win32.Mutant.gmv ( DrWEB: Trojan.DownLoad.61675, NOD32: Win32/Wigon.HT trojan )
  2. c:\documents and settings\администратор\главное меню\программы\автозагрузка\iidwin32.exe - Backdoor.Win32.Bredolab.baj ( DrWEB: Trojan.Botnetlog.11, BitDefender: Trojan.Packed.Hiloti.Gen.2, AVAST4: Win32:Hiloti-K [Trj] )
  3. c:\windows\system32\restorer32_a.exe - Trojan-Downloader.Win32.Mutant.gmv ( DrWEB: Trojan.DownLoad.61675, NOD32: Win32/Wigon.HT trojan )