Показано с 1 по 11 из 11.

Подозрение на вирус (заявка № 69999)

  1. #1
    Junior Member Репутация
    Регистрация
    02.02.2010
    Сообщений
    6
    Вес репутации
    29

    Thumbs up Подозрение на вирус

    Добрый день! Пару дней назад, работая в интернете, получил сообщение от Outpost о попытке запуска процессов. Не обратив внимания, дважды щелкнул разрешить, и только получив "Внедрение в память" понял, что что-то не так. Лог Outpost'а:
    01.02.2010 1:57:08 Заблокировать UDPATE.LIN Внедрение в память процесса C:\WINDOWS\SYSTEM32\SVCHOST.EXE
    01.02.2010 1:57:08 Заблокировать UDPATE.LIN Внедрение в память процесса C:\WINDOWS\SYSTEM32\SVCHOST.EXE
    01.02.2010 1:56:58 Разрешить UDPATE.LIN Запуск сетевого приложения c:\windows\system32\svchost.exe
    01.02.2010 1:56:53 Разрешить UDPATE.LIN Запуск сетевого приложения c:\windows\system32\cmd.exe
    Файл udpate.lin на всякий случай сохранил (его посылал на разные онлайн-проверки в DrWeb и на Kaspersky - говорят, что чисто, только McAfee сказал о Heuristic.BehavesLike.Win32.Obfuscated.I и кто-то еще о подозрении на какой-то вирус).
    Проверил с помощью AVZ получил сообщение "Модифицирован ключ запуска проводника" и "Отключить режим ограниченнного запуска программ". Эти проблемы исправил с помощью "Мастера поиска и устранения проблем". Но подозреваю, что это еще не все и возможно есть и другие проблемы.
    Помогите, пожалуйста.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2

  4. #3
    Junior Member Репутация
    Регистрация
    02.02.2010
    Сообщений
    6
    Вес репутации
    29
    Спасибо за ответ. Установил MBAM и выполняю проверку. Пока что говорит об 1 зараженном объекте (если не ошибаюсь это случилось на проверке реестре). Папку Windows уже прошли, проверяется Documents and Settings.
    Есть ли смысл проверять диск D? Там по идее никаких системых файлов нет - только инсталяции и рабочие файлы. (Просто он в 10 раз больше и если проверка C за 30 мин не закончилась, то можно представить сколько будет проверяться D).

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    401
    Думаю, что можно остановиться на диске с:

  6. #5
    Junior Member Репутация
    Регистрация
    02.02.2010
    Сообщений
    6
    Вес репутации
    29
    Вложение 213343

    Последние две строки - я тоже когда-то раньше сохранял несколько файлов, которые собирались запускаться, чтобы отправить их на онлайн-проверку. Там же находился и udpate.lin (на него MBAM ругаться не стал).

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    401
    Удалите в MBAM
    Код:
    Заражено ключей реестра:
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{2ff811e6-8925-4084-a649-c159955e67e8} (Trojan.BHO) -> No action taken.
    D:\tmp\3E.tmp (Trojan.Hegeny) -> No action taken.
    D:\tmp\52.tmp (Backdoor.Bot) -> No action taken.
    C:\Documents and Settings\Катя\Мои документы\VNet\vkontakte84.exe--это Вам знакомо?

  8. #7
    Junior Member Репутация
    Регистрация
    02.02.2010
    Сообщений
    6
    Вес репутации
    29
    Цитата Сообщение от shapel Посмотреть сообщение
    Удалите в MBAM
    Код:
    Заражено ключей реестра:
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{2ff811e6-8925-4084-a649-c159955e67e8} (Trojan.BHO) -> No action taken.
    D:\tmp\3E.tmp (Trojan.Hegeny) -> No action taken.
    D:\tmp\52.tmp (Backdoor.Bot) -> No action taken.
    C:\Documents and Settings\Катя\Мои документы\VNet\vkontakte84.exe--это Вам знакомо?
    Вроде бы его скачивали, но не запускали - думаю, можно тоже удалить на всякий случай.

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    401
    Цитата Сообщение от vetal_n Посмотреть сообщение
    Вроде бы его скачивали, но не запускали - думаю, можно тоже удалить на всякий случай.
    Удалите. Больше в логах подозрительного не увидел

  10. #9
    Junior Member Репутация
    Регистрация
    02.02.2010
    Сообщений
    6
    Вес репутации
    29
    Цитата Сообщение от shapel Посмотреть сообщение
    Удалите. Больше в логах подозрительного не увидел
    Спасибо за помощь и внимание к проблеме.Хотел бы узнать только на будущее - нет ли опасности в строках вроде"Функция user32.dll:ChangeDisplaySettingsExA (34) перехвачена, метод APICodeHijack.JmpTo[1009F56E]""\FileSystem\FastFat[IRP_MJ_CREATE] = 873D61F8 -> перехватчик не определен"

  11. #10
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    401
    Цитата Сообщение от vetal_n Посмотреть сообщение
    Хотел бы узнать только на будущее - нет ли опасности в строках вроде"Функция user32.dll:ChangeDisplaySettingsExA (34) перехвачена, метод APICodeHijack.JmpTo[1009F56E]""\FileSystem\FastFat[IRP_MJ_CREATE] = 873D61F8 -> перехватчик не определен"
    Нет.

  12. #11
    Junior Member Репутация
    Регистрация
    02.02.2010
    Сообщений
    6
    Вес репутации
    29
    Цитата Сообщение от shapel Посмотреть сообщение
    Нет.
    Еще раз большое спасибо.

  • Уважаемый(ая) vetal_n, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Подозрение на вирус
      От Unisell в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 23.09.2010, 13:30
    2. Подозрение на вирус
      От fantazer333 в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 14.09.2010, 16:46
    3. Подозрение на вирус!
      От kvant-p в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 17.11.2009, 07:40
    4. Подозрение на вирус
      От Hruuum в разделе Помогите!
      Ответов: 14
      Последнее сообщение: 22.02.2009, 05:02
    5. Подозрение на вирус
      От Мурад в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 09.01.2009, 11:15

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00692 seconds with 16 queries