-
Создаються пользователи(Win XP 64 bit) (заявка №18453)
Пользователь обратился в сервис 911, указав на следующие проблемы в работе его компьютера:
При каждой загрузке появляются два новых польз. SYS и TEMP с полными правами...на всех дисках висят файлы autorun.exe и autorun.inf...ни один антивир не видит угрозы...
при каждой загрузке создаются safesurf.exe surfguard.exe up.exe
в netstat куча соеденений
Drweb live cd не помог
отправлял карантин и подозрительные файлы касперскому...в ответ "не обнаружено вредоносного кода"
Очень очень нужна помощь
На XP 32bit помог только Combofix
Дата обращения: 10.05.2010 15:32:40
Номер заявки: 18453
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
12.05.2010 16:40:19 на зараженном компьютере были обнаружены следующие вредоносные файлы:
- C:\WINDOWS\SysWOW64\mydocs.dll - подозрительный, обрабатывается вирлабом
- размер: 796160 байт
- дата файла: 07.05.2008 17:36:32
- версия: "6.00.3790.3959 (srv03_sp2_rtm.070216-1710)"
- копирайты: "© Microsoft Corporation. All rights reserved."
- C:\WINDOWS\system32\regedit.exe - подозрительный, обрабатывается вирлабом
- размер: 147456 байт
- дата файла: 18.02.2007 15:00:00
- версия: "5.2.3790.3959 (srv03_sp2_rtm.070216-1710)"
- копирайты: "© Microsoft Corporation. All rights reserved."
- C:\WINDOWS\system32\svсhost.exe - подозрительный, обрабатывается вирлабом
- размер: 389120 байт
- дата файла: 18.02.2007 15:00:00
- версия: "5.2.3790.3959 (srv03_sp2_rtm.070216-1710)"
- копирайты: "© Microsoft Corporation. All rights reserved."
- C:\WINDOWS\system32\twain_32.dll - подозрительный, обрабатывается вирлабом
- размер: 77312 байт
- дата файла: 21.03.2007 20:54:16
- версия: "1,6,0,3"
- C:\WINDOWS\system32\twunk_16.exe - подозрительный, обрабатывается вирлабом
- размер: 48560 байт
- дата файла: 21.03.2007 20:54:16
- версия: "1,6,0,1"
- C:\WINDOWS\system32\сsrss.exe - подозрительный, обрабатывается вирлабом
- размер: 18432 байт
- дата файла: 18.02.2007 15:00:00
- версия: "5.2.3790.0 (srv03_rtm.030324-2048)"
- копирайты: "© Microsoft Corporation. All rights reserved."
- G:\autorun.inf - подозрительный, обрабатывается вирлабом
- размер: 91 байт
- дата файла: 26.03.2010 23:55:42
- E:\autorun.inf - подозрительный, обрабатывается вирлабом
- размер: 91 байт
- дата файла: 26.03.2010 23:55:42
- F:\autorun.inf - подозрительный, обрабатывается вирлабом
- размер: 91 байт
- дата файла: 26.03.2010 23:55:42
-
-
12.05.2010 17:30:24 на зараженном компьютере были обнаружены следующие вредоносные файлы:
- C:\WINDOWS\SysWOW64\mydocs.dll - подозрительный, обрабатывается вирлабом
- размер: 796160 байт
- дата файла: 07.05.2008 17:36:32
- версия: "6.00.3790.3959 (srv03_sp2_rtm.070216-1710)"
- копирайты: "© Microsoft Corporation. All rights reserved."
- C:\WINDOWS\system32\regedit.exe - подозрительный, обрабатывается вирлабом
- размер: 147456 байт
- дата файла: 18.02.2007 15:00:00
- версия: "5.2.3790.3959 (srv03_sp2_rtm.070216-1710)"
- копирайты: "© Microsoft Corporation. All rights reserved."
- C:\WINDOWS\system32\svсhost.exe - подозрительный, обрабатывается вирлабом
- размер: 389120 байт
- дата файла: 18.02.2007 15:00:00
- версия: "5.2.3790.3959 (srv03_sp2_rtm.070216-1710)"
- копирайты: "© Microsoft Corporation. All rights reserved."
- C:\WINDOWS\system32\twain_32.dll - подозрительный, обрабатывается вирлабом
- размер: 77312 байт
- дата файла: 21.03.2007 20:54:16
- версия: "1,6,0,3"
- C:\WINDOWS\system32\twunk_16.exe - подозрительный, обрабатывается вирлабом
- размер: 48560 байт
- дата файла: 21.03.2007 20:54:16
- версия: "1,6,0,1"
- C:\WINDOWS\system32\сsrss.exe - подозрительный, обрабатывается вирлабом
- размер: 18432 байт
- дата файла: 18.02.2007 15:00:00
- версия: "5.2.3790.0 (srv03_rtm.030324-2048)"
- копирайты: "© Microsoft Corporation. All rights reserved."
- G:\autorun.inf - подозрительный, обрабатывается вирлабом
- размер: 91 байт
- дата файла: 26.03.2010 23:55:42
- E:\autorun.inf - подозрительный, обрабатывается вирлабом
- размер: 91 байт
- дата файла: 26.03.2010 23:55:42
- F:\autorun.inf - подозрительный, обрабатывается вирлабом
- размер: 91 байт
- дата файла: 26.03.2010 23:55:42
-
-
16.05.2010 18:10:14 на зараженном компьютере были обнаружены следующие вредоносные файлы:
- G:\Autorun.inf - подозрительный, обрабатывается вирлабом
- размер: 91 байт
- дата файла: 26.03.2010 23:55:42
- F:\Autorun.inf - подозрительный, обрабатывается вирлабом
- размер: 91 байт
- дата файла: 26.03.2010 23:55:42
- E:\Autorun.inf - подозрительный, обрабатывается вирлабом
- размер: 91 байт
- дата файла: 26.03.2010 23:55:42
-
-
not-a-virus:RiskTool.Win32.SafeSurf.a
28.05.2010 17:10:26 на зараженном компьютере были обнаружены следующие вредоносные файлы:
- c:\windows\system32\up.exe - подозрительный, обрабатывается вирлабом
- размер: 16896 байт
- дата файла: 28.05.2010 15:40:28
- версия: "1.0.0.0"
- копирайты: "Copyright © JetSwap 2009"
- c:\windows\system32\safesurf.exe - not-a-virus:RiskTool.Win32.SafeSurf.a
- размер: 197120 байт
- дата файла: 12.03.2010 20:48:34
- версия: "2.0"
- копирайты: "Copyright © JetSwap 2009"
- c:\windows\system32\evntstart.exe - подозрительный, обрабатывается вирлабом
- размер: 1079624 байт
- дата файла: 06.05.2010 12:16:58
- детект других антивирусов: VBA32: Зловред Worm.Win32.AutoRun.bhyp
-
-
Итог лечения
30.05.2010 11:12:04 лечение успешно завершено
-