Вчера(или даже позавчера) в процессе поиска кряка/кейгена/лодера/серийника к ProNFS(нфс клиентдля венды) запустил(предвариельно проверив его антивирусом AVG) файл "ProNFS 2.7.exe" весом 546281 байт.
Который незамедлительно создал свою копию, в том же каталоге, с именем CTHELPER.exe. после чего я сразу убил то, что запустилось, и таск мэнэджером убил все незнакомые процессы включая CTHELPER.exe и всякие msiexec и тому подобные. После этого обновил(предидущий раз обновлялся около 2-3(может 6-7) дней доэтого) AVG и ещё раз просканил тот же файл, AVG нашел что-то вроде "IRC/BackDoor.SdBot3.WBY", просканил всю систему ничего не нашлось, снёс AVG, поставил NOD32 результат тот же...
Вот закидывал архив с тем файлом на virustotal.com : http://www.virustotal.com/ru/resulta...5e7ebfecb28e93
P.S. при первом запуске HiJackThis оно выдало вот такой вот эррор:
Код:
---------------------------
HijackThis
---------------------------
Please help us improve HijackThis by reporting this error Click 'Yes' to submit Error Details: An unexpected error has occurred at procedure: modRegistry_IniGetString(sFile=win.ini, sSection=windows, sValue=load) Error #5 - Invalid procedure call or argument Windows version: Windows NT 5.02.3790 MSIE version: 6.0.3790.3959 HijackThis version: 2.0.2
---------------------------
Yes No
---------------------------
P.P.S. оригинал архива с файлом всё ещё сохранился, могу залить если кто-то хочет. вообще хотелось бы узнать побольше про эту гадость, чем её найти и вылечить и что она вообще делала.
Последний раз редактировалось Shadow[13]; 03.12.2007 в 20:26.
Причина: память... ^_^ фиговая всмысле
[RIGHT][I]Холодильник тоже космос...[/I][/RIGHT]
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Файл сохранён как 071203_115940_virus_4754440c541f3.zip
Размер файла 307593
MD5 2169413defb8bb649b7c6a9df8b473a6
со вторым пунктом правил... перед тем как пойду спать запущупроверку, т.к. она займёт много часов. (AVG просканил где-то за 6-8 часов, NOD32 сканил более 16ти часов)
Выполнено. (Опять же таки надеюсь, что ничего не напутал ^_^)
P.S. Всегда рад выслушать советы по облегчению(увеличение быстройдействия, уменьшение количества сжираемых ресурсов) системы и повышению секьюрности. ^_^
Последний раз редактировалось Shadow[13]; 04.12.2007 в 01:26.
Причина: Переосмысливание. Мелкая коррекция.
ничего зловредного больше не вижу ...
есть странности в логе avz , но у вас весьма специфический набор программ установлен ...
какие-то проблемы остались ?
мм... Да собственно проблем я никаких вообще не заметил... но как-то не верится что оно всё попередохло... ещё AVZ какую-то ошибку выдал когда в сэйф моде его запускал... но текст я не сохранил, хотя он больше это никак не отразил вроде нигде... скоро пойду спать, на ночь(день) запущу CureIt из под сэйф мода... завтра утром(сегодня вечером) отпишусь. С удовольствием порешу всё подозрительное, что с 75% вероятность не убьёт систему полностью, так что единственным выходом будет переустановка, если какое ПО сдохнет как-нить в процессе потом переустановлю/восстановлю. Отпишусь, когда проснусь.
Ожидаю дальнейших инструкций бип-бип-бип
Добавлено через 9 часов 53 минуты
Просканился CureIt'ом в сэйф моде, скачал его какраз перед темм как ушел.
Результат 0... он нашел Beagle в хранилище AVG несколько утилит для работы с сетью/системой/восстановления_информации(например_забытых_паролей ) и ещё нашел 2 трояна в SFU... О_О
Да, мне кажется, что ось иногда странно реагирует, и не пропадает чувство что эта штука сидит глубоко в системе зарышись туда, как червь в бункер. Посоветуйте чем ещё можно просканиться, чтоб быть хотябы процентов на 95 уверенным?
Естественно я их не сразу 2 ставил :)... а сначала снёс один, а потом поставил другой.
Сообщение от V_Bond
ну не более чем любой другой антивирус ...
Не сказал бы. Каспер один из самых громостких антивирусов и один из самых требовательных к ресурсам. Сравни его, к примеру, с пандой...
Сообщение от V_Bond
тогда это уже не антивирус .... сканер это - пталогоанатом .... он все знает... только на помощь приходит слишком поздно ... :)
Сомневаюсь. :)
Перед тем как что-то запустить(если это не слито с оффициального сайта) я обычно всегда это сканирую антивирусом, так что помоему в самый раз. Все четыри раза когда мой комп был заражен каким-либо вирусом это происходило потому как я сам запускал файл зараженный вирусом(в первый раз это был червь Klez какой-то, выделил несколько десятков файлов зараженных им и по чистой случайности нажал энтер. во второй раз это был jeefo, который сожрал большую часть моих дистрибутивов(4-5 лет назад было, по локалке с фтп что-то слил зараженное, по странному поведению системы почувствовал, что что-то неладное), потом третий раз был(я тут отписывал какраз по этому поводу) когда я запустил файл подозревая(с 90% уверенностью, хотя антивирус и сказал, что там ничего нету) что он заражен вирусом(честно говоря немогу сказать почему запустил, наверное просто интересно стало, что там, в общем я за это поплотился своим ICQ UIN'ом)... Ну и вот это собственно четвёртый раз, я тоже подозревал, что файл заражен вирусом, но поверил антивирусу... В общем я сомневаюсь что я бы его запустил, если б у меня небыло антивируса. Так, что антивирусы мне пока особо не помогли, хоть они в первые два раза и вычистили заразу(поубивав большую часть установленного ПО и большую часть дистрибутивов(до сих пор не все убитые дистрибутивы нашел), во вторые два раза они вообще мне помочь не смогли и даже скорее наоборот. :( Хотя, за всё время использования они всётаки 1 раз сканер предотвратили запуск файла зараженного вирусом и пару лет назад монитор нод32 помог не заразиться jeefo во второй раз, зараженную прогу слил с одного ресурсва в локальной сети, ресурс был вроде как полу-оффициальный(пользовательский с поддержкой сетью, т.е. либо на машинке принадлежащей сети либо на пользовательской машинке находящейся в серверной сети с управлением одним из пользователей сети, незнаю как ещё такое назвать, кроме как полу-оффициальный), поэтому не стал проверять сканером(пользователь администрировавший тот ресурс кстати знал, что тот файл был заражен вирусом и на мой вопрос какого фига он не лечится он сказал что типа нафиг надо, если он никакого вреда от вируса не замечает).
Да, кстати :), в любом случае спасибо за помощь в лечении, хотя я и не уверен, что всё вылечилось.
P.S.:
Сообщение от V_Bond
може так оно и есть ;)
Я всётаки предпочитаю совершать ошибки сам, а не полагаться, что кто-то(что-то) другой(ое) их совершит за меня.
Последний раз редактировалось Shadow[13]; 04.12.2007 в 21:45.
Причина: Переосмысление.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: