Есть подозрение на вирус, распространяющийся по ICQ
Привет всем, кто добровольно помогает жертвам зверьков :о)
Вчера пришел на работу, подключился к аське (я использую только миранду) и получил с десяток сообщений от людей из моего контакт-листа о том, что они от меня ранее получали подозрительные сообщения со ссылками на нечто. По описанию это вроде бы действия вируса, названия которого разнятся у разных источников. К сожалению, точно текст на память не воспроизведу, но что-то типа «Check this» с невнятной ссылкой и «…my picture» со ссылкой на picture.pif (если надо, завтра скопирую точно).
Поскольку своей аськой я пользуюсь только в двух местах (на работе и дома), делаю вывод, что какая-то из этих двух машин заражена. На обеих стоит Dr.Web с последними базами, но монитор (спайдер) на обеих мог быть какое-то время поставлен на паузу :(
На работе успел проверить диск только сканером Dr.Web — безрезультатно.
Есть подозрение, что заражена все-таки домашняя машина — позавчера заметил странный глюк: через некоторое время после старта машины (не могу сказать точнее, обычно она не выключается и не перегружается неделями) у всех процессов в Диспетчере задач показывается использование памяти 20-30-40-50 МБ, хотя я точно знаю, что почти никто из них столько никогда не отжирает (во всяком случае, даже одиночных таких случаев с ними ранее не было, а тут вдруг все сразу). Кроме того, суммарное потребление памяти находится примерно на обычном уровне и очевидно меньше суммы рапортуемого потребления каждого процесса.
Проверял машину Dr.Web, онлайновым сканером Касперского, AVG и NOD32 (в т. ч. всеми, кроме Касперского, — загрузив Windows в safe mode). По совету с этого сайта, добавил проверку AVZ (в т. ч. тоже под safe mode). Никто ничего явного не нашел.
Логи прилагаю. Подскажите, кто чем может ;)
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Насчёт сообщения по аське , мне тоже такое прислали . Пытался скачать для коллекции этот *.pif ,не вышло . Cервер был в дауне . Если у вас получилось скачать (какой-нибудь качалкой), только не запускайте ;D- Пришлите нам для изучения .
Выглядит чисто .
Если не удалили , подозрительный временный файл прислать по правилам :
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\H7BN1HWM\wa_setup[1].js
эти батники сами делали :
C:\Program Files\Folding@Home\run1\UDMonitor\udmon-fah1.bat
C:\Program Files\Folding@Home\run2\UDMonitor\udmon-fah2.bat
если нет , тоже пришлите .
Сейчас открыть их не получилось, видимо, они живут недолго.
Подозрительный файл приложил к теме, но вообще он был скачан с сайта Intel ;)
Батники для UDMonitor уже не упомню, делал ли сам или только переименовывал, но они очень старые и абсолютно проверенные (сейчас на всякий случай проверил содержимое), просто вызывают UDMonitor для F@H start ud_mon.exe -fah. Если нужно, пришлю.
Насчет фиксов: вроде бы, все эти компоненты стояли уже давно. А что будет, когда я их прибью? Подозрительные утечки памяти прекратятся?
Прибил все O16 кроме Касперского, все равно не пользуюсь, а вот Касперский еще, думаю, пригодится. И я точно поставил его только после начала проблем, а глюки с памятью обнаруживались днем раньше.
O23 - Service: Remote Administrator Service (r_server) — это нормально установленный мной лично RAdmin. Надо удалять? Я им сейчас не пользуюсь, он постоянно отключен.
Сейчас, как назло, вторые сутки проблем с памятью нет.
P. S. Хм, я думал, подозрительный файл, отправленный через https://virusinfo.info/upload_virus.php автоматически прикрепится к теме. Что-то не вижу его. Добавить его к сообщению обычным вложением?
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: