-
не могу удалить вирус (заявка №15508)
Пользователь обратился в сервис 911, указав на следующие проблемы в работе его компьютера:
1) Вирус не удаляется моей антивирусной программой
2) идет исходящий трафик, хотя никаких передающих в интернет данные не запущено,
мне кажется поражен файл svchost.exe. после старта системы запускаются процессы типа D001.exe E001.exe J001.exe eoo1.exe, хотя в автозапуске их нет. все что есть в автозапуске вроде "родное" или что устанавливал я.
исходящий траффик идет даже если я завершаю все эти процессы и при завершенных процессах KIS 2009 выдает сообщения о том, что svchost.exe пытается скачать вирусы из интернета. далее отдельные отчеты о событиях КИС
12.04.2010 17:39:19 Обнаружено: HEUR:Trojan.Win32.Generic Kaspersky Internet Security D:\documents and settings\localservice\local settings\temporary internet files\content.ie5\XXMME115\J001[1].exe
12.04.2010 17:39:09 Обнаружено: Trojan-Dropper.Win32.VB.amnk Generic Host Process for Win32 Services D:\WINDOWS\SYSTEM32\W669E75Z2T\A07.exe
12.04.2010 17:40:38 Обнаружено: Backdoor.Win32.Krafcot.ov Generic Host Process for Win32 Services D:\WINDOWS\SYSTEM32\W669E75Z2T\eoo1.exe
12.04.2010 17:43:24 Не вылечено: HEUR:Trojan.Win32.Generic Kaspersky Internet Security D:\documents and settings\localservice\local settings\temporary internet files\content.ie5\XXMME115\J001[1].exe Записано в отчет
12.04.2010 17:40:08 Обнаружено: 61.185.44.19 Generic Host Process for Win32 Services http://61.185.44.19/1.exe Базы (это он как раз обнаружил скачивание вируса)
12.04.2010 17:40:08 Запрещено: 61.185.44.19 Generic Host Process for Win32 Services http://61.185.44.19/1.exe Базы
12.04.2010 17:37:14 Запрещено Kaspersky Internet Security Изменение REGISTRY\MACHINE\SOFTWARE\KasperskyLab\protected\A VP8\Trace\Default
12.04.2010 18:00:04 Запрещено: KLPrivileges/KLPermissionSystem/KLPermissionHiddenNetAct/KLUseDNS D001.EXE Использование функций системы (DNS) для скрытой отправки данных на сетевой адрес bojue7386.3322.org KLPrivileges/KLPermissionSystem/KLPermissionHiddenNetAct/KLUseDNS (я добавил процесс в недоверенные в настройках КИС)
базы КИС свежие, исходящий траффик идет со скоростью 60 кб/с
Дата обращения: 12.04.2010 15:03:01
Номер заявки: 15508
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
12.04.2010 16:10:24 на зараженном компьютере были обнаружены следующие вредоносные файлы:
- D:\WINDOWS\System32\asitsclib.dll - подозрительный, обрабатывается вирлабом
- размер: 196632 байт
- дата файла: 12.04.2010 18:18:02
- d:\windows\system32\asitsvstart.dll - подозрительный, обрабатывается вирлабом
- размер: 149016 байт
- дата файла: 10.04.2010 10:19:24
- детект других антивирусов: DrWEB 5.0: Зловред Trojan.DownLoader1.4778; BitDefender: Зловред DeepScan:Generic.Peed.40954F02
- d:\windows\system32\dz5q2e9y3u\d001.exe - подозрительный, обрабатывается вирлабом
- размер: 40714 байт
- дата файла: 11.04.2010 20:43:02
- детект других антивирусов: DrWEB 5.0: Зловред Trojan.Siggen1.19101; VBA32: Зловред Trojan.Win32.Inject.2; BitDefender: Зловред Trojan.Generic.3595791; Avast4: Зловред Win32:Dogrobot [Drp]
- D:\WINDOWS\system32\mssfc.dll - подозрительный, обрабатывается вирлабом
- размер: 1548288 байт
- дата файла: 18.08.2004 19:00:00
- версия: "5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)"
- копирайты: "© Microsoft Corporation. All rights reserved."
- d:\windows\system32\sqlserv.exe - подозрительный, обрабатывается вирлабом
- размер: 7680 байт
- дата файла: 11.04.2010 20:43:22
- версия: "6.1.7600.16385"
- копирайты: "Copyright © 2001 Microsoft"
-
-
12.04.2010 17:00:56 на зараженном компьютере были обнаружены следующие вредоносные файлы:
- D:\WINDOWS\system32\mssfc.dll - подозрительный, обрабатывается вирлабом
- размер: 1548288 байт
- дата файла: 18.08.2004 19:00:00
- версия: "5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)"
- копирайты: "© Microsoft Corporation. All rights reserved."
- D:\PROGRA~1\gfjvf\nwumf.dlc - подозрительный, обрабатывается вирлабом
- размер: 3051520 байт
- дата файла: 18.08.2004 19:00:00
- детект других антивирусов: NOD32: Подозрение Win32/Redosdru.CP trojan
- D:\WINDOWS\system32\DZ5Q2E9Y3U\D001.exe - подозрительный, обрабатывается вирлабом
- размер: 40714 байт
- дата файла: 11.04.2010 20:43:02
- детект других антивирусов: DrWEB 5.0: Зловред Trojan.Siggen1.19101; VBA32: Зловред Trojan.Win32.Inject.2; BitDefender: Зловред Trojan.Generic.3595791; Avast4: Зловред Win32:Dogrobot [Drp]
- d:\windows\system32\asitsvstart.dll - подозрительный, обрабатывается вирлабом
- размер: 149016 байт
- дата файла: 10.04.2010 10:19:24
- детект других антивирусов: DrWEB 5.0: Зловред Trojan.DownLoader1.4778; BitDefender: Зловред DeepScan:Generic.Peed.40954F02
- D:\WINDOWS\System32\asitsclib.dll - подозрительный, обрабатывается вирлабом
- размер: 196632 байт
- дата файла: 12.04.2010 18:53:58
- d:\program files\art plus\wallpaper5\wallpaper.exe - подозрительный, обрабатывается вирлабом
- размер: 2113536 байт
- дата файла: 07.06.2003 19:57:50
- версия: "5.0.0.500"
- копирайты: "Copyright © 1996-2003 Art Plus Marketing & Publishing"
- d:\windows\system32\sqlserv.exe - подозрительный, обрабатывается вирлабом
- размер: 7680 байт
- дата файла: 11.04.2010 20:43:22
- версия: "6.1.7600.16385"
- копирайты: "Copyright © 2001 Microsoft"
-
-
HEUR:Trojan.Win32.Generic
12.04.2010 21:31:25 на зараженном компьютере были обнаружены следующие вредоносные файлы:
- D:\WINDOWS\system32\mssfc.dll - подозрительный, обрабатывается вирлабом
- размер: 1548288 байт
- дата файла: 18.08.2004 19:00:00
- версия: "5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)"
- копирайты: "© Microsoft Corporation. All rights reserved."
- D:\PROGRA~1\gfjvf\nwumf.dlc - подозрительный, обрабатывается вирлабом
- размер: 3051520 байт
- дата файла: 18.08.2004 19:00:00
- детект других антивирусов: NOD32: Подозрение Win32/Redosdru.CP trojan
- D:\WINDOWS\system32\DZ5Q2E9Y3U\D001.exe - подозрительный, обрабатывается вирлабом
- размер: 40714 байт
- дата файла: 11.04.2010 20:43:02
- детект других антивирусов: DrWEB 5.0: Зловред Trojan.Siggen1.19101; VBA32: Зловред Trojan.Win32.Inject.2; BitDefender: Зловред Trojan.Generic.3595791; Avast4: Зловред Win32:Dogrobot [Drp]
- d:\windows\system32\asitsvstart.dll - подозрительный, обрабатывается вирлабом
- размер: 149016 байт
- дата файла: 10.04.2010 10:19:24
- детект других антивирусов: DrWEB 5.0: Зловред Trojan.DownLoader1.4778; BitDefender: Зловред DeepScan:Generic.Peed.40954F02
- D:\WINDOWS\System32\asitsclib.dll - подозрительный, обрабатывается вирлабом
- размер: 196632 байт
- дата файла: 12.04.2010 18:53:58
- d:\program files\art plus\wallpaper5\wallpaper.exe - подозрительный, обрабатывается вирлабом
- размер: 2113536 байт
- дата файла: 07.06.2003 19:57:50
- версия: "5.0.0.500"
- копирайты: "Copyright © 1996-2003 Art Plus Marketing & Publishing"
- d:\windows\system32\sqlserv.exe - подозрительный, обрабатывается вирлабом
- размер: 7680 байт
- дата файла: 11.04.2010 20:43:22
- версия: "6.1.7600.16385"
- копирайты: "Copyright © 2001 Microsoft"
- d:\windows\system32\4d8jik6879\h001.exe - HEUR:Trojan.Win32.Generic
- размер: 33280 байт
- дата файла: 12.04.2010 18:18:40
- детект других антивирусов: DrWEB 5.0: Зловред DDoS.Storm.origin; VBA32: Подозрение Trojan.Win32.Waledac; NOD32: Подозрение Win32/TrojanDownloader.Agent.OQT trojan
-
-
Итог лечения
12.04.2010 21:38:35 лечение успешно завершено
-