Доброго времени суток!
Подхватил заразу (скорее всего, после установки загрузчика mediaget) - модифицированный Win32/Spy.Shiz.NCE (по определению NOD32). Понял это, когда попросился в автозагрузку «userinit». Через Reg Organizer увидел в автозагрузке две странных ветки реестра, которые не могут быть автоматически проверены на правильность, с именем «____991». Затем забил тревогу и NOD32.
Убил эти ветки. Удалил файл \____991.exe. Но файл, после удаления, тут же «восставал из пепла».
Удалил через AnVir Task Manager ветку реестра, ссылающуюся на процесс, а потом через File ASSASIN и сам файл по адресу C:\Documents and Settings\Admin\Local Settings\Temp\____991.exe. Комп сразу перезагрузился. Просканировал NOD32 и Malwarebytes Anti-Malware 1.60. Нашлись NOD32 и отправились в карантин ещё «множественные угрозы» в одном лице!? Проблемы: Сейчас всплывают подсказки от Malwarebytes Anti-Malware, что была попытка соединения с вредоносным сайтом :89.108.67.190. Виснет и обрывается иннет.
Пытаюсь скачать AVPTool11 уже часов шесть, чтобы проверится в безопасном режиме. Раздача идёт со скоростью 2KB/s. Выкладываю логи на форум с надеждой, что проблема и без сканирования в безопасном режиме себя проявит.
Благодарен за помощь. С уважением, Руслан.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Rusik77, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
C периодичностью в 2-3 минуты вываливается сообщение от Malwarebytes Anti-Malware, что была попытка соединения с вредоносным сайтом. Только теперь на :213.186.116.18. Вирусные базы AVZ обновлять не хочет (ошибка [21, 00002EFF]). При попытке обновления вываливается попытка соединения с вредоносным сайтом: 89.108.67.190.
Добавлено через 11 минут
На :213.186.116.18 при входе на mail.ru. При обновлении баз AVZ - на: 89.108.67.190. На другие сайты и программы пока аналогичных реакций не было.
Последний раз редактировалось Rusik77; 23.02.2012 в 12:13.
Причина: Добавлено
Malwarebytes Anti-Malware реагирует, с всплывающей инфой: 89.108.67.190, только на адрес http://www.z-oleg.com/secur/avz_up/. С другого адреса http://avz.virusinfo.info/avz_up/ обновить AVZ удалось. Сделаю лог и выложу. Ранее MBAM из подозрительных находил только "keygen" в инсталяшках.
При переходе по поисковым ссылкам из Googl также всплывает подсказка от "Защитного модуля" МВАМ, что была предотвращена попытка доступа к вредоносному веб-сайту. При этом, сайт по ссылке почти всегда открывается. Или, то на что среагировал МВАМ не открылось (допустим, в другом окне), или он опомнился и передумал? Непонятна и реакция МВАМ на mail.ru. Что файл ____991.exe был вирусный - понятно. Т.к. не помню нормальных файлов, которые после удаления тут же восстанавливались да ещё в автозагрузку просились.
Но и доверять ли теперь всплывающим подсказкам от МВАМ? Подписался на пробный период только чтобы попробовать Мгновенное сканирование. Почитал, что Win32/Spy.Shiz.NCE орудует в оперативной памяти и раз НОД32 его не может удалить, то пусть МВАМ попробует. Но МВАМ его не видел...!?
- Выполните в AVZ скрипт из файла ScanVuln.txt
- Откройте файл avz_log.txt из под-папки LOG.
- Пройдитесь по ссылкам из файла avz_log.txt и установите важные обновления.
- Перезагрузите компьютер.
- Повторите выполнение скрипта, чтобы убедиться, что уязвимости устранены.
При выполнении Combofix /Uninstall отвечает: "Windows не удалось найти Combofix". Combofix на рабочем столе!? Не переименовывал его.
Его удалить вручную? Нужно ли удалять каталог Qoobox, созданный ComboFix?
Дальнейшие рекомендации, как я понял, нет смысла делать, пока этот шаг не выполнен?
Уведомление от МВАМ при входе на mail.ru так и всплывает.
MBAM выгрузил.
Скрипт с defendium.info от (AndreyKa) выполнил.
Уязвимости устранил.
Больше никаких странностей со стороны компьютера не наблюдаю.
Благодарен за помощь! Ура профессионалам!
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: