Извините, что пишу с нового аккаунта, но существует риск, что мой компьютер заражен кейлоггером и потому, чтобы не усугублять проблему, я решил зарегистрировать новый акк.
И так. Суть проблемы. Несколько дней назад я оказался на самом переднем фронте антивирусной войны - мой компьютер был заражен новой модификацией вируса, которая на тот момент была известна только 3 антивирусам и 20 самых популярных. Обнаружилось это по смене иконки флэшки, а флэшка до этого была 100% чистой. Проверка флэшки подтвердила опасения, однако лицензионный антивирус Dr.Web с самыми последними базами не смог опознать вирус. Проверка утилитой AVZ, которую я делаю регулярно, показала, что появились новые перехватчики функций работы с файловой системой, а так же был подменен диспетчер задач.
Вирус был отправлен на исследование и спустя менее чем сутки был добавлен в вирусную базу и удален с моего компьютера. Он оказался простым флэшкомарателем. Однако после него остались весьма подозрительные следы. В списке модулей ядра периодически(чаще всего после длительной работы с компьютером) появляется подозрительный драйвер, а вместе с ним и сообщения о перехвате функций файловой системы в логе AVZ. Подозрительный он потому, что у него рандомное имя и грузится он из папки "Local Settings\Temp", что характерно для вирусов. Проблема заключается в том, что ни удалить его, ни поместить в карантин я не могу, так как указанного файла(даже скрытого) там попросту не оказывается, что наталкивает меня на мысль, что он каким то образом себя защищает.
Многократные проверки всего компьютера как антивирусом, так и специальными утилитами ничего не выявили. А моя душа не спокойна, пока существует вероятность, что в моей системе где-то сидит кейлоггер или еще не дай бог криптор. Я бы конечно снес систему, чтобы мне было спокойнее, но я решил все таки сначала спросить совета у вас. Врага нужно не избегать, а побеждать. Проблема в том, что данный драйвер пропадает при перезагрузке компьютера и на момент сканирования его не не было. Скорее всего он появляется при определенной деятельности на компьютере. Если понадобится, то я сделаю повторное сканирование, если он снова появится.
А пока что вот логи AVZ и HijackThis.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) TempAccount, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
- Выполните в AVZ скрипт из файла ScanVuln.txt
- Откройте файл avz_log.txt из под-папки LOG.
- Пройдитесь по ссылкам из файла avz_log.txt и установите важные обновления.
- Перезагрузите компьютер.
- Повторите выполнение скрипта, чтобы убедиться, что уязвимости устранены.
C:\System Volume Information\_restore{85183C4F-8EB2-4624-879B-348A81E0E7B4}\RP555\A0259690.exe (Trojan.Agent) -> Действие не было предпринято.
D:\WINDOWS\gendel32.exe (Trojan.Agent) -> Действие не было предпринято.
G:\Documents and Settings\Система\Local Settings\Temp\513964.exe (Trojan.Inject) -> Действие не было предпринято.G:\System Volume Information\_restore{A822D7B1-7680-45C1-A2FB-A9665FC74110}\RP84\A0024595.exe (Trojan.Inject) -> Действие не было предпринято.
G:\System Volume Information\_restore{A822D7B1-7680-45C1-A2FB-A9665FC74110}\RP84\A0025582.exe (Trojan.Inject) -> Действие не было предпринято.
Больше ничего необычного.
Удалите старые точки восстановления и создайте новую.
Удалил. Тока сначала удалил точки восстановления, т.к. сканирование идет долго и я не успел это сделать вчера, потому 2 из 5 файлов были удалены вместе с точкой восстановления.
Требуется еще что-нибудь? Просто когда я пробил этот вирус еще в первый день по virustotal, то в описании было написано, что вирус возможно имеет функции кейлоггера. По классификации Dr.Web я название точно не скажу, но Win32 и Autorunner там точно было и в описании ничего не было про функцию кейлоггера. Какова вероятность, что что-то могли упереть? Стоит ли поменять все пароли?
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: