Здраствуйте.
В систему, судя по всему, пробрался некий незамечаемый антивирусами загрузчик, который при появлении интернета загружает целую обойму вредоносов.
Замеченные проявления:
Заражает флешки: создает файл автозапуска, делает папки системными, а рядом ярлыки на запуск вируса с именем скрытых файлов.
Создает файлы вида "xx.exe" где x – цифра в папке system32
в Documents and Settings/NetworkService/ раскидывает ддосеры
в D&S/User тоже создает экзешник
Создал логи по инструкции и высылаю вам, спасибо за помошь
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Aleksander Golmakov, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Прошу прощения, что долго не отвечал, был далеко от пострадавшего компа.
Выполнил все, что вы просили.
Еще меня смущает куча файлов вида:
Код:
C:\Documents and Settings\User\Local Settings\Application Data\4132921.exe
C:\Documents and Settings\User\Local Settings\Application Data\2817718.exe
C:\Documents and Settings\User\Local Settings\Application Data\2818593.exe
C:\Documents and Settings\User\Local Settings\Application Data\2818890.exe
C:\Documents and Settings\NetworkService\Local Settings\Application Data\057453.exe
C:\Documents and Settings\NetworkService\Local Settings\Application Data\0715.exe
C:\Documents and Settings\User\Application Data\vpdya.exe
C:\Documents and Settings\User\Application Data\yccfj.exe
C:\Documents and Settings\User\dhdh.exe
Это только часть, там таких полно.
И есть подозрительный файл, на который ссылается ярлык из папки автозапуска:
Код:
C:\Documents and Settings\User\Local Settings\Temp\_uninst_19537355.bat
Выполните скрипт в AVZ при наличии доступа в интернет:
Код:
begin
if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then DeleteFile('log\avz_log.txt');
If DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', GetAVZDirectory +'ScanVuln.txt') Then ExecuteScript('ScanVuln.txt')
Else ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then ExecuteFile('notepad.exe', GetAVZDirectory + 'log\avz_log.txt', 1, 0, false);
ExitAVZ;
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.
C:\Documents and Settings\User\Мои документы\Дистрибутивы\Adobe CS5\Keygen.exe (Trojan.Agent.CK) -> Действие не было предпринято.
C:\Documents and Settings\User\Мои документы\Дистрибутивы\Photoshop Lightroom 3.4.1\Keygen.exe (Trojan.Agent.CK) -> Действие не было предпринято.
C:\Program Files\WinRAR\original\RAR Slayer v1.1.exe (Malware.Tool) -> Действие не было предпринято.
C:\WINDOWS\notepad.exe (Trojan.Agent) -> Действие не было предпринято.
C:\Обмен\Обмен.exe (Trojan.Chydo) -> Действие не было предпринято.
Заново просканируйте и прикрепите новый лог сканирования MBAM.
Последний раз редактировалось regist; 31.01.2012 в 22:32.
Причина: Добавлено
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: