Неизвестный зловред блокирует доступ к антивирусным сайтам
Доброго времени суток, уважаемые!
Собственно, сабж. Блокируются сайты drweb.com, drweb.ru, kaspersky.ru, virusinfo.info, возможно, какие-либо другие. При пинговании нет ответа от хоста, хотя dns разрешается, при попытке зайти на сайт по ip - то же самое (видимо блокирует по ip). Другой вредоносной активности (пока) не обнаружено. Повышенной сетевой активности тоже не замечено. Подозреваю backdoor или password stealer. В одной из веток реестра нашел ключ Hidden User, не знаю, может так и быть должно?
Заранее благодарю за помощь, надеюсь с помощью гуру вывести гада!
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Да, возможно, это покажется кому-то важным, тестировал и Каспером (Virus Removal Tool), и Доктором (CureIt), и даже ClamAV из-под Мандривы. Качал все на чистой системе, грузился в безопасном, тестил, затем в обычном, снова тестил. Ничего не находилось. За пару-тройку недель до этого выловил какого-то бекдора и трояна (уже не помню). По-видимому, схватил с флешки (некогда было проверить).
Кстати, извиняюсь, за оффтоп, но может диагностика от Каспера заменить диагностику AVZ? Есть где-нибудь что-нибудь почитать по этой теме?
Внимание !!! База поcледний раз обновлялась 21.08.2009 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
Скачайте отсюда архив с новыми базами, распакуйте его. Удалите папку Base и скопируйте вместо неё разархивированную. Сделайте новые логи virusinfo_syscure.zip и virusinfo_syscheck.zip.
Базу обновил, спасибо (на z-oleg.com не было доступа). После выполнения предложенного скрипта и работы HiJackThis система долго уходила в перегруз - минуты 4, все это время с разной интенсивностью мигал индикатор работы винчестера. Прилагаю результаты повторной диагностки.
Последний раз редактировалось pig; 31.05.2010 в 16:54.
Причина: карантин в теме неуместен
Докладываю о результатах: после выполнения первого скрипта система ушла в долгий перегруз (как и в прошлый раз). Затем выполнил второй скрипт (в архив добавил вчерашний карантин), провел диагностику. Все это время сеть была подключена (интернет через шлюз в локалке), навигаторы (Лис с ИЕ) запущены.
Доступ к сайтам восстановился, большое спасибо.
Интересуют следующие моменты: кто это был? где взять по нему инфу? полностью ли я от него избавился? каковы методы проникновения и последствия?
Благодарю за помощь!
PS: кстати, esp7E62.tmp (шибко подозрительная локация и название для принтера) пытался удалить через скрипт Каспера (Virus Removal Tool), видимо, не получилось. Сам файл не был виден ниоткуда. Также тестил все диски LiveCD от Доктора - ничего не нашел
Архив загрузил через страницу http://virusinfo.info/upload_clean.php
-------
Файл сохранён как 100601_212656_virusinfo_files_KUCHER_4c0542e0793d2 .zip
Размер файла 29673577
MD5 93d4fc4406a4166601fc35e9857cee8e
-------
Логи проверок прилагаю. Что делать дальше? Можно ли уже расслабиться? Загрузка под другими пользователями безопасна? Следует ли отписаться в теме http://virusinfo.info/showthread.php?t=3519?
Осталось обновить систему
- SP2 обновите до Service Pack 3(может потребоваться активация) * Перед установкой Сервис Пака необходимо выгрузить антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
- Установите Internet-Explorer 8.(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - тут
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: