С меня перевели все WebMoney, видимо словил трояна. Систему почистил КИСом и Аутпостом. тут логи AVZ & HijackThis.
появились в корне С:\ три экзешника но КИС сразу показал их попытки доступа к реестру которые и были заблокированы! Файлы удалены (хотя вири в них не обнаружены оО) После этого прогнал диски на поиск вирусов и руткитов - все чисто. вечером в 22-45 из кипера перевели все до копейки (конечно сумма относительно не большая, ~2000вмр, но все же).
Кстати после этих фигней с 3 файлами и их попыток была нужда загрузить кипер - в нем почему-то перестал быть сохранен мой ВМИД, я его прописал там по новой, указал кошельки, ввел пароли, на почту выслали авторизацию и я этот код ввел. После этого в кипер до сегодняшнего вечера не заходил.
Всю систему проверил КИСом. Удалил экзешник и дллку из папки system32/drivers (KIS не видел в них вируса кстати).
Сейчас какая проблема: Все ли я вычистил и чиста ли система? Проверил по инструкции в этом разделе прогами AVZ & HijackThis. Логи прикрепляю ниже.
На данный момент стоят и Аутпост и КИС7. Из вирусом они ничего не показывают. Т.е. типа после того случая все удалено...
Буду рад Вашей помощи.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
В карантин тех кого хотели не попали.
Сделайте новые логи...
Сделал все тоже самое что в начале темы делал (три новых файла прикрепляю к этому сообщению).
Прогнал еще раз написанный выше скрипт однако в каратине так и осталось теже 4 файла. (Т.е. ничего нового! Какой я отправлял карантин через форму такой он и остался)
П.С.: Подскажите еще плиз: Надо ли повторно менять пароли всякие разные если я их сменил еще до обращения на этот форум? (Или было среди логов что-то страшное?)
Последний раз редактировалось asp1r1n; 13.03.2008 в 19:48.
Сказать точно мы не сможем, т.к. образцы зловредов в карантин не захотели, можем только предположить, что temp\winlogon.exe - Trojan-Proxy.Win32.Small.hu, WINDOWS\csrss.exe может быть Email-Worm.Win32.Scano.ac, cxscheca001.dll - Trojan-PSW.Win32.Agent.im по поводу остальных, кто его знает кто это был. Пароли в принципе можно для перестраховки сменить ещё раз после окончания лечения.
TrafficCompressor - Вы устанавливали? Ip6Fw.sys - поищите при помощи авз сервис--поиск файлов на диске, найдётся, пришлите согласно приложению 2.
у вас установлены аутпост и кис ... это нормально работать не будет ....
инвайдер - это попытка внедрения в процесс что нормально для защитных программ ...
зловредного ничего не видно ....
Подскажите пожалуйста что за процесс сидит в КИСовском файволе под названием system (всякие svchost.exe видны что в папке виндовс они а у этого system - папка написана system, и разрешает он все входящие и исходящие УДП пакеты...
Не могу понять че-то... В папке C:\Documents and Settings\Artyom\Local Settings\Temp\ постоянно содается файл file***.exe (вместо звезд левые цифры). Вышлю файл сейчас по приложению 3. Посмотрите плиз что за файл такой. Каспер как всегда молчит. Говорит только на попытки этого файла достучаться до ДНС сервера и куда-то еще (все это блокируется мной). однако файл уже сидит в это время в процессах и жрет нехило % загрузки ЦП. Завершаю его через дистпечер задач и удаляю из папки...
Откуда он берется вобще и что за файл? Отсылаю по приложению 3 его в архиве...
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: