Похоже опять проблема с компьютером, вылеченным здесь: http://virusinfo.info/showthread.php?p=110690
После лечения на следующий день поставил Kaspersky Internet Security 6.0 просканировал все, удалил несколько уже неактивных троянов и думал проблемы кончились.
Смущало только такие вещи:
периодические сообщения вида - Intrusion.Win.MSSQL.worm.Helkern! IP-адрес атакующего: 61.134.53.62. Протокол/сервис: UDP на локальный порт 1434. Время: 20.05.2007 13:09:09
сообщения вида - 26.05.2007 19:32:03 Попытка процесса с PID 668 получения доступа к процессу Kaspersky Internet Security с PID 1956 была заблокирована. Это результат срабатывания механизма самозащиты. Под PID 668 работал explorer.exe
На днях набрел на некую страницу содеражщую вирус - Kaspersky его перехватил, во всяком случае написал об этом
26.05.2007 11:43:52 Вредоносный HTTP-объект <Здесь была зараженная ссылка>: обнаружено: вирус 'Virus.Win32.Delf.bn'.
Сегодня решил запустить avz для контроля и его логи мне показались очень странными - либо это Kaspersky добавил свои драйвера, либо опять вирус пришел.
PS: На 99% не важно, но за эти дни запускал три программы, на которые ругался Kaspersky, но я его заставлял игнорировать - filemon.exe (скачен с sysinternals.com), regmon.exe (скачен с sysinternals.com) и IDA, которая сто лет стоит на компе. (22.05.2007 23:35:03 Процесс F:\Program Files\IDA\idag.exe, обнаружено: потенциально опасное ПО 'Invader' (модификация).
)
PPS Восстановление сейчас пока не отключал, но, если надо будет, то сразу отключу.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\ecsepm.cpl','');
QuarantineFile('C:\Program Files\HP\{AAC4FC36-8F89-4587-8DD3-EBC57C83374D}\pexpress\hphped06.exe','');
QuarantineFile('c:\windows\system32\hphmon06.exe','');
RebootWindows(false);
end.
Пришлите файлы карантина по правилам раздела "Помогите". Скорее всего чистые, но лучше проверить. Радуйтесь, что у Вас установлен KIS и что он во время распознал угрозу.
filemon.exe (скачен с sysinternals.com), regmon.exe (скачен с sysinternals.com) и IDA, которая сто лет стоит на компе. (22.05.2007 23:35:03 Процесс F:\Program Files\IDA\idag.exe, обнаружено: потенциально опасное ПО 'Invader' (модификация).
KIS должен "ругаться" на эти программы: filemon.exe и regmon.exe извлекают из себя драйвера и инсталлируют их, а IDA содержит в своем составе отладчик, который внедряется в другие процессы.
Пока чисто Добавились перехваты каспера , это нормально. хелкерн - для вас не опасен , к тому же каспер его отражает (просто иногда раздражает , понимаю )насчёт попытки эксплорера получить доступ к кис- странно , такого не должно быть.Но возможно это был кто-то другой ;0 Сложно сказать
Чтобы уменьшить шанс заражения советую :
1) работать за компьютером из под ограниченного пользователя.
2)Пользоваться для хождения по интернету другим браузером с отключёнными скриптами по умолчанию (Firefox и Opera это позволяют делать в отличии от ИЕ 7 ) Сделайте следующее:http://virusinfo.info/showthread.php?t=3519
, чтобы в следующий раз вас не просили присылать те же самые файлы ( они должны стать зелёными в логе
Последний раз редактировалось drongo; 26.05.2007 в 23:33.
Пока чисто Добавились перехваты каспера , это нормально.
А вот меня они более всего и смутили - я их принял за руткит.
Вот, что еще меня сильно смущает - несколько минут назад Каспер нашел у меня на диске
удалено: троянская программа Trojan-PSW.Win32.LdPinch.ady Файл: C:\Documents and Settings\Aleksey\~tmp0374.exe ALEKSEY\Aleks localhost
Это притом, что я проверял все диски Каспером и все вылечил (удалил). Откуда же тогда этот LdPinch взялся снова?
Есть у меня подозрение, что на зраженном сайте могло еще что-то сидеть, что Каспер не увидел. На всякий случай дам на него ссылку - осторожно вирус!!!
26.05.2007 11:43:52 Вредоносный HTTP-объект [Link]
: обнаружено: вирус 'Virus.Win32.Delf.bn'.
Чтобы уменьшить шанс заражения советую :
1) работать за компьютером из под ограниченного пользователя.
2)Пользоваться для хождения по интернету другим браузером с отключёнными скриптами по умолчанию (Firefox и Opera это позволяют делать в отличии от ИЕ 7 )
Спасибо за советы, на иной браузер я уже осбирался переходить - на Opera.
Сделал сейчас полную проверку всего Касперским. (несколько часов делалась) Из файлов не нашлось ничего зараженного. В почте удалил десяток зараженных писем еще 2004 года, но они все равно не запускались ни разу.
Всем спаcибо за помощь.
@e_aleks Все-таки, от лукавого , смените пароли. Может, тот Пинч, найденный Касперским уже успел сработать.
Уже сменил. Скоро у меня фантазия иссякнет на новые пароли.
Есть у меня подозрение, что на зраженном сайте могло еще что-то сидеть, что Каспер не увидел. На всякий случай дам на него ссылку - осторожно вирус!!! Принято к сведению Ссылку убрал, чтобы ни кто не заразился.
А известен ли сейчас вердикт по этому сайту, что же там за "зверь" все-таки обитал.
Спасибо за советы, на иной браузер я уже осбирался переходить - на Opera. У этого брауера есть свои проблемы, причем очень серьезные.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: