Exe-файл после запуска исчез. Антивирусы ничего не видят.
Запустила файл "лекарства", предварительно проверив Касперским. Экзешник сразу "испарился". Скачала CureIt и Avira. Они тоже ничего не находят. Прикрепляю свое "счастливое" приобретение. Я этот файл "умудрилась" скачать дублем, потому он у меня и остался, а зупущенный исчез на глазах. Насколько понимаю, "приличные" файлы так себя не ведут. Если сможете, помогите пожалуйста. Что это за дрянь и как правильно с ней бороться. Настолько привыкла доверять своему Касперу, что сейчас в тихой панике и не знаю как быть.
Прошу прощения, но сделать все в точности как требуется Вашими правилами перед работой времени не было. Компьютер крайне нужен именно сегодня. Ушла на работу и вот не знаю, к чему вечером вернусь.
Последний раз редактировалось PavelA; 30.06.2009 в 11:47.
Причина: Недопустимое вложение удалено
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
36 часов спустя Касперский и Авира разродились и опознали зловреда:
Trojan-Downloader.Win.32.FraudLoad.evp
Исходники (сохранившиеся на компе по причине случайного дубля при скачивании) опознали и удалили, а вот нашли ли они исполненный файл? Куда он пишется и что делает - нигде найти не смогла. При сканировании Касперским вдобавок выписывается все время кейлоггер. Под старую клавиатуру стоял драйвер, если не ошибаюсь Netropa, может это он?
Провела сканирование системы согласно Ваших правил.
Логи прикрепляю.
В логах не видно ничего вредоносного.
Но на всякий случай заархивируйте вот этот файл: K:\all_is_done\for consideration\эдди\Recuva.exe в zip-архив с паролем virus и сбросьте в карантин по ссылке http://virusinfo.info/upload_virus.php?tid=48946
Прошу прощения, что умничаю, ничего в Ваших делах не понимая. А это что за запись в логе? Подозрение на RootKit Перехватчик KernelMode
Дело в том, что в автозагрузке была прописана вот такая строка
KernelFaultCheck %systemroot%\system32\dumprep 0 -k Peecтp - Machine Run
С помощью утилиты Starter ее заблокировала, а она повторно появлялась. Опять заблокировала. Пока не активизировалась. Это что за зверь? Или это чей-то хвост остался?
Добавлено через 50 минут
Извините за назойливость, в советах по оптимизации есть фраза
"блокировать возможность подключения анонимных пользователей"
Это каким образом сделать?
Последний раз редактировалось Elena; 02.07.2009 в 08:17.
Причина: Добавлено
Прошу прощения, если сделала что-то не так, но запрошенного gjf файла K:\all_is_done\for consideration\эдди\Recuva.exe в карантине не было. Я его заархивировала в zip-формат из места размещения, пометив паролем virus и отослала.
Файл Fonts\vcredist_x86.exe находится в карантине AVZ. PavelA, я Вас правильно поняла?
Выполнить скрипт, а упомянутый в нем файл из карантина запаковать и выслать? Вышлю вечером, сейчас на работе.
И еще, извините, значит строку "KernelFaultCheck %systemroot%\system32\dumprep 0 -k Peecтp - Machine Run" в автозагрузке блокировать не нужно, если это системная запись? Или опять я чего-то не поняла?
Последний раз редактировалось Elena; 02.07.2009 в 10:56.
Еще раз спасибо. Попробую по Гуглу, но вот о напугавшем меня "зловреде" (Trojan-Downloader.Win.32.FraudLoad.evp) я в гугле ничего не нашла, кроме того, что он не новичок.
Спасибо за помощь, дай Бог, чтобы не приходилось часто к ней обращаться. :-)
Тема закрыта, но попробую снова в ней обратиться. Когда искала "зловреда" в дополнение к своему Касперу установила Авиру. На данный момент Авира просто остановлена и убрана запись из автозагрузки. Можно оставить так или все равно возможен конфликт двух антивирусов? Если удалять Авиру, то подскажите, пожалуйста, как сразу это корректно сделать.
И еще. Раз файл в карантине чистый, то его можно вернуть на место? Попыталась - не вышло. Запускала AVZ, просмотр карантина, пометила флагом, восстановить. Не восстанавливается. Почему?
Прошу прощения. Я понимаю, что файл у меня на машине в карантине, а Вам высылается его заархивированная копия. Но он не восстановился. Как был в карантине, так и сидит там. На мои " AVZ - файл - просмотр карантина - пометить - восстановить" реакция нулевая. В принципе, это пока не критично, так как я не знаю для какого приложения он использовался.
Обычной деинсталяцией Avira удалится без хвостов? Тогда тоже вопрос снят.
Спасибо. Извините, пожалуйста, за кучу попутных вопросов.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: