Показано с 1 по 20 из 20.

Exe-файл после запуска исчез. Антивирусы ничего не видят. (заявка № 48946)

  1. #1
    Junior Member Репутация
    Регистрация
    30.06.2009
    Сообщений
    19
    Вес репутации
    32

    Thumbs up Exe-файл после запуска исчез. Антивирусы ничего не видят.

    Запустила файл "лекарства", предварительно проверив Касперским. Экзешник сразу "испарился". Скачала CureIt и Avira. Они тоже ничего не находят. Прикрепляю свое "счастливое" приобретение. Я этот файл "умудрилась" скачать дублем, потому он у меня и остался, а зупущенный исчез на глазах. Насколько понимаю, "приличные" файлы так себя не ведут. Если сможете, помогите пожалуйста. Что это за дрянь и как правильно с ней бороться. Настолько привыкла доверять своему Касперу, что сейчас в тихой панике и не знаю как быть.
    Прошу прощения, но сделать все в точности как требуется Вашими правилами перед работой времени не было. Компьютер крайне нужен именно сегодня. Ушла на работу и вот не знаю, к чему вечером вернусь.
    Последний раз редактировалось PavelA; 30.06.2009 в 10:47. Причина: Недопустимое вложение удалено

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2500
    Не надо торопиться и присылать все подряд.
    Сюда в тему выкладывать только логи.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  4. #3
    Junior Member Репутация
    Регистрация
    30.06.2009
    Сообщений
    19
    Вес репутации
    32
    36 часов спустя Касперский и Авира разродились и опознали зловреда:
    Trojan-Downloader.Win.32.FraudLoad.evp
    Исходники (сохранившиеся на компе по причине случайного дубля при скачивании) опознали и удалили, а вот нашли ли они исполненный файл? Куда он пишется и что делает - нигде найти не смогла. При сканировании Касперским вдобавок выписывается все время кейлоггер. Под старую клавиатуру стоял драйвер, если не ошибаюсь Netropa, может это он?
    Провела сканирование системы согласно Ваших правил.
    Логи прикрепляю.
    Вложения Вложения

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для gjf
    Регистрация
    08.06.2008
    Адрес
    Where I lay my head is home
    Сообщений
    2,685
    Вес репутации
    787
    В логах не видно ничего вредоносного.
    Но на всякий случай заархивируйте вот этот файл: K:\all_is_done\for consideration\эдди\Recuva.exe в zip-архив с паролем virus и сбросьте в карантин по ссылке http://virusinfo.info/upload_virus.php?tid=48946

  6. #5
    Junior Member Репутация
    Регистрация
    30.06.2009
    Сообщений
    19
    Вес репутации
    32
    Прошу прощения, что умничаю, ничего в Ваших делах не понимая. А это что за запись в логе?
    Подозрение на RootKit Перехватчик KernelMode

    Дело в том, что в автозагрузке была прописана вот такая строка
    KernelFaultCheck %systemroot%\system32\dumprep 0 -k Peecтp - Machine Run
    С помощью утилиты Starter ее заблокировала, а она повторно появлялась. Опять заблокировала. Пока не активизировалась. Это что за зверь? Или это чей-то хвост остался?

    Добавлено через 50 минут

    Извините за назойливость, в советах по оптимизации есть фраза
    "блокировать возможность подключения анонимных пользователей"
    Это каким образом сделать?
    Последний раз редактировалось Elena; 02.07.2009 в 07:17. Причина: Добавлено

  7. #6
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2500
    Эта строчка вписывается системой на случай блюскрина для записи дампа.
    Выполните скрипт:
    Код:
    begin
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
     QuarantineFile('C:\WINDOWS\Fonts\vcredist_x86.exe','');
    end.
    Пришлите карантин по Правилам.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  8. #7
    Junior Member Репутация
    Регистрация
    30.06.2009
    Сообщений
    19
    Вес репутации
    32
    Прошу прощения, если сделала что-то не так, но запрошенного gjf файла K:\all_is_done\for consideration\эдди\Recuva.exe в карантине не было. Я его заархивировала в zip-формат из места размещения, пометив паролем virus и отослала.
    Файл Fonts\vcredist_x86.exe находится в карантине AVZ.
    PavelA, я Вас правильно поняла?
    Выполнить скрипт, а упомянутый в нем файл из карантина запаковать и выслать? Вышлю вечером, сейчас на работе.
    И еще, извините, значит строку "KernelFaultCheck %systemroot%\system32\dumprep 0 -k Peecтp - Machine Run" в автозагрузке блокировать не нужно, если это системная запись? Или опять я чего-то не поняла?
    Последний раз редактировалось Elena; 02.07.2009 в 09:56.

  9. #8
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2500
    Строчка эта системная запись, блокировать ее бесполезно.

    Карантин присылать по Правилам Приложение 3, там все расписано.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  10. #9
    Junior Member Репутация
    Регистрация
    30.06.2009
    Сообщений
    19
    Вес репутации
    32
    За советы спасибо. Запрошенный файл из карантина выслала согласно правил.

  11. #10
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2500
    Файл в карантине чистый.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  12. #11
    Junior Member Репутация
    Регистрация
    30.06.2009
    Сообщений
    19
    Вес репутации
    32
    Спасибо, но извините за глупый попутный вопрос. А что делает экзешник в папке со шрифтами? Так разве бывает?

  13. #12
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2500
    Ну, на это вопрос я сразу не смогу. Надо его имя пробить во всемогущем гугле, может тогда что-нибудь и проясниться.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  14. #13
    Junior Member Репутация
    Регистрация
    30.06.2009
    Сообщений
    19
    Вес репутации
    32
    Еще раз спасибо. Попробую по Гуглу, но вот о напугавшем меня "зловреде" (Trojan-Downloader.Win.32.FraudLoad.evp) я в гугле ничего не нашла, кроме того, что он не новичок.
    Спасибо за помощь, дай Бог, чтобы не приходилось часто к ней обращаться. :-)

  15. #14
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2500
    Заходите, в беде не оставим.
    Особенное тех, кто так глубоко разбирается.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  16. #15
    Junior Member Репутация
    Регистрация
    30.06.2009
    Сообщений
    19
    Вес репутации
    32
    Тема закрыта, но попробую снова в ней обратиться. Когда искала "зловреда" в дополнение к своему Касперу установила Авиру. На данный момент Авира просто остановлена и убрана запись из автозагрузки. Можно оставить так или все равно возможен конфликт двух антивирусов? Если удалять Авиру, то подскажите, пожалуйста, как сразу это корректно сделать.
    И еще. Раз файл в карантине чистый, то его можно вернуть на место? Попыталась - не вышло. Запускала AVZ, просмотр карантина, пометила флагом, восстановить. Не восстанавливается. Почему?

  17. #16
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2500
    Я файл не удалял, а только брал на анализ.

    Avira & Kaspersky имеют оба драйвера в памяти. Они могут конфликтовать.
    А что у Avira деинсталляции простой нет?

    Да, и еще. Темы у нас не закрываются, а просто помечаются для
    понимания что в ней происходит.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  18. #17
    Junior Member Репутация
    Регистрация
    30.06.2009
    Сообщений
    19
    Вес репутации
    32
    Прошу прощения. Я понимаю, что файл у меня на машине в карантине, а Вам высылается его заархивированная копия. Но он не восстановился. Как был в карантине, так и сидит там. На мои " AVZ - файл - просмотр карантина - пометить - восстановить" реакция нулевая. В принципе, это пока не критично, так как я не знаю для какого приложения он использовался.
    Обычной деинсталяцией Avira удалится без хвостов? Тогда тоже вопрос снят.
    Спасибо. Извините, пожалуйста, за кучу попутных вопросов.

  19. #18
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2500
    Еще раз: файл не удалялся. Он где был там и живет.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  20. #19
    Junior Member Репутация
    Регистрация
    30.06.2009
    Сообщений
    19
    Вес репутации
    32
    Спасибо. Извините за юзерскую бестолковость.

  21. #20
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,317
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 2
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) Elena, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 14
      Последнее сообщение: 19.07.2012, 10:12
    2. Ответов: 5
      Последнее сообщение: 09.11.2009, 15:23
    3. Ответов: 13
      Последнее сообщение: 31.08.2009, 18:37
    4. autorun.inf и что-то еще.Антивирусы их не видят
      От MyxoMop в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 09.06.2009, 14:10
    5. Ответов: 13
      Последнее сообщение: 23.06.2008, 16:20

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01085 seconds with 17 queries