-
Junior Member
- Вес репутации
- 52
И еще раз Internet Security
Всем привет!
Вчера тоже словил Internet security. Антивирус (Avira) умер, диспетчер задач и многое другое не открывалось. Сканировал из Linux'а с помощью Avast! и ClamAV (базы обновлены) - ни тот ни другой ничего не нашли.
Сам вирус деактивировал с помощью кода, указанного на сайте ДрВеба.
После этого проверял с помощью CureIt! (запускал из linux'а), тот нашел два Trojan.Win32.Qhost.mdh.
Потом сканировал с помощью AVP Tool, который после 10 часов скана нашел только файлы из карантина CureIt!
Avira после ввода кода ожила, сканировал ею, вот что нашла:
WINDOWS\tmp\cnrmew.dll
[DETECTION] Is the TR/Agent.W.3512 Trojan
WINDOWS\tmp\emuqnq.dll
[DETECTION] Is the TR/Agent.W.3512 Trojan
WINDOWS\tmp\qndwdybzn.dll
[DETECTION] Is the TR/Agent.W.3512 Trojan
WINDOWS\tmp\wvdgnj.dll
[DETECTION] Is the TR/Agent.W.3512 Trojan
Папки temp и tmp после этого полностью очистил.
Все равно остается ощущение, что саму гадость-то я и не нашел... Сделал логи по Правилам, прошу Вас посмотреть и высказать свое экспертное мнение. Заранее благодарен Вам за ответ!
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Не видно ничего подозрительного.
Выполните процедуру, описанную в первом сообщении: http://virusinfo.info/showthread.php?t=3519
-
-
Junior Member
- Вес репутации
- 52
Сообщение от
AndreyKa
Результаты обработки:
Архив 100125_192504_virusinfo_files_TD-GTP-BOSS_4b5dc5e03942e.zip, загружен 25.01.2010 19:40:41, размер 11052833 байт
Всего файлов: 25 (исполняемых 25), из них:
зловреды или опасные объекты: 0
подозрительные: 0
занесены в базу безопасных AVZ: 5
В очереди на добавление в базу безопасных:
высокий приоритет: 16
обычный приоритет: 4
Видимо ничего malicious у меня в системе не осталось
Кстати после этой зачистки заметил, что изчез спам из аськи, видимо это какой-то троянчик сидел...
Всем спасибо за помощь!
-
Junior Member
- Вес репутации
- 52
Хочу дополнить.
Сегодня просканировал систему с помощью Malwarebytes' Anti-Malware, он выявил следующие признаки заражения:
Заражено ключей реестра:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Servic es\RkHit (Rogue.SpywareCease) -> Quarantined and deleted successfully
Заражено параметров реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.Userinit) -> Bad: (C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\sorry .exe) Good: (Userinit.exe) -> Quarantined and deleted successfully.
Ну с уведомлениями все понятно, а вот по поводу остальных пунктов хотелось бы спросить мнение экспертов. Реальные ли это заражения или просто анти-малваре перестраховывается?
Заранее спасибо за ответ!
-
Сообщение от
Andrius74
Ну с уведомлениями все понятно, а вот по поводу остальных пунктов хотелось бы спросить мнение экспертов. Реальные ли это заражения или просто анти-малваре перестраховывается?
Это был реальный мусор в реестре.
-