начали появляться в ноде следующие строки
19.10.2010 21:27:04 Real-time file system protection file C:\DOCUME~1\9335~1\LOCALS~1\Temp\424.exe Win32/Bflient.K worm cleaned by deleting - quarantined NT AUTHORITY\SYSTEM Event occurred on a new file created by the application: C:\WINDOWS\Explorer.EXE.
19.10.2010 22:41:25 Real-time file system protection file C:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\6DW3MZ6P\tbf[1].exe Win32/Bflient.K worm cleaned by deleting - quarantined NT AUTHORITY\SYSTEM Event occurred on a new file created by the application: C:\WINDOWS\Explorer.EXE.
19.10.2010 21:27:04 Real-time file system protection file C:\DOCUME~1\9335~1\LOCALS~1\Temp\424.exe Win32/Bflient.K worm cleaned by deleting - quarantined NT AUTHORITY\SYSTEM Event occurred on a new file created by the application: C:\WINDOWS\Explorer.EXE.
19.10.2010 21:27:04 Real-time file system protection file C:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\YHOV2LA5\tbf[1].exe Win32/Bflient.K worm cleaned by deleting - quarantined NT AUTHORITY\SYSTEM Event occurred on a new file created by the application: C:\WINDOWS\Explorer.EXE.
также заметил что он создает файлы с двумя цифрами в system32
просьба помочь с паразитом
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
После выполнения скрипта компьютер перезагрузится.
Файл quarantine.zip загрузите по ссылке прислать запрошенный карантин.
Сделайте новые логи
+ Скачайте RSIT. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.
razerhid.exe не трогал т.к. это драйвер мыши Razer
добавил на карантин и удаление в скрипте еще 3 файла созданных червем в system32 35 44 78 .exe
rsit логи и обновленные с avz ниже
теперь постоянно нод ругается
20.10.2010 16:46:22 Real-time file system protection file C:\WINDOWS\system32\40.exe Win32/Peerfrag.FD worm cleaned by deleting - quarantined NT AUTHORITY\SYSTEM Event occurred on a new file created by the application: C:\WINDOWS\System32\svchost.exe.
20.10.2010 16:51:08 Real-time file system protection file C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\23YTCNSH\f[2].exe Win32/Peerfrag.FD worm cleaned by deleting (after the next restart) - quarantined NT AUTHORITY\SYSTEM Event occurred on a new file created by the application: C:\WINDOWS\System32\svchost.exe.
20.10.2010 16:49:30 Real-time file system protection file C:\DOCUME~1\9335~1\LOCALS~1\Temp\395.exe Win32/Bflient.K worm cleaned by deleting - quarantined NT AUTHORITY\SYSTEM Event occurred on a new file created by the application: C:\WINDOWS\Explorer.EXE.
и файлы постоянно создаются этим червем как его почистить даже не знаю.
прошел по реестру по стандартным ключам этой заразы - пусто. видимо источник хорошо спрятан, либо есть бэкдор какой-то, который нод не в силах отловить
нод постоянно удаляет файлы
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\KVQE2H19\f[1].exe Peerfrag.FD worm
C:\WINDOWS\system32\40.exe Peerfrag.FD worm итп
и вот еще появился новый. видимо предыдущий закачал новый вирус.
C:\WINDOWS\system32\78.scr probably a variant of Win32/Injector.DBU trojan
всё это началось вчера после проверки скорости на 5 ресурсах в интернете
забыл отписаться, вирус исчез после повторной проверки avz но на всякий поставил sp3. всё тип топ пока что.
скорее всего вирус попал с какого-то из этих ресурсов.
speed.yoip.ru/
speed-tester.info
2ip.ru/speed
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: