Добрый день. Явных симптомов заражения системы нет, но 3 день вместе с техподдержкой КМБ банка не можем добиться восстановления работоспособности новой версии клиент-банка, которая после установки функционировала несколько дней. Вот решили проверить систему на вирусы. На ПК установлен NOD32 v. 2_7.
CureIt.exe в безопасном режиме ничего стоящего не обнаружил.
avz обнаружила следующее: wininet.dll:InternetAlgIdToStringA (212) перехвачена, метод APICodeHijack.JmpTo[671F11C6].
Ранее был обнаружен заражённый файл tgt86.exe - Worm.Mail.Warezov.afd (заражение подтверждено 15 антивирусами на virustotal.com). Необходимые отчёты прикрепляю ниже.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Не удалось поместить в карантин файлы - wtsadpvo.dll, diagisr.dll
Ошибка карантина файла, попытка прямого чтения (wtsadpvo.dll, diagisr.dll)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\wtsadpvo.dll, diagisr.dll)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\wtsadpvo.dll, diagisr.dll)
Карантин с использованием прямого чтения - ошибка
Добавил в архив файлы, которые avz посчитала подозрительными при выполнении скриптов для темы "Помогите". Был ещё подозрительный файл c:\windows\system32\drivers\uphcleanhlp.sys но добавить его в карантин не удалось по той же причине
Добавлено через 51 минуту
как вариант можно попробовать вытащить эти файлы, загрузившись с infraCD. Есть такая необходимость?
Последний раз редактировалось turtle; 25.03.2008 в 17:54.
Причина: Добавлено
Павел, добрый день. Пробовал искать через avz - результат отрицательный, сообщение об ошибке в предыдущем моём посте. Пробовал загрузиться с infraCD но и таким способом найти их не удалось. Можете ещё что-то порекомендовать? Факт заражения имеет место быть?
Доброе утро. Есть ещё какие-нибудь идеи или пора переходить к радикальным методам? Пока постарался не вмешиваться в систему своими активными действиями. Но время поджимает, руководство требует результат. Если у кого есть мысли буду рад.
Отправил. Сервиса не видно очевидно по причине того, что CureIt поместил файл Services.exe из папки BWMeter на карантин. "C:\Program Files\BWMeter\Service.exe является потенциально опасной программой Program.SrvAny - перемещен
". Так как я и раньше сталкивался с этим и почитав описание вируса просто вернул файл на место. Наверно CureIt ещё и службу отрегистрировал.
Деинсталлировал и NOD32 заодно, т.к. в него тоже частенько внедряют. Клиент-банк не заработал. Попробую повторно проверить CureIt и avz
Добавлено через 1 час 23 минуты
По прежнему "Функция wininet.dll:InternetAlgIdToStringA (212) перехвачена, метод APICodeHijack.JmpTo[671F11C6]
Функция wininet.dll:InternetAlgIdToStringW (213) перехвачена, метод APICodeHijack.JmpTo[671F1376]"
Всё-таки это точно вирусы? Может совсем не туда копаю?
Последний раз редактировалось turtle; 31.03.2008 в 12:35.
Причина: Добавлено
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
перехватчики
