при очередном осмотре AVZ поругался на файлик autelc.dll как на кейлоггер троян. Эта dll'ка без цифровой подписи. Грузится в разделе winlogon notify. После отложенного удаления система его не восстановила. System restore отключено, значит в кеше системных dll этого файла нет. (иначе он вернулся бы на место). Сделал вывод вывод что файл не от системы, раз она без него блаполучно обошлась. Находился в \\.\WINDOWS\system32. Кто может поисследовать хотя-бы на вскидку - что это за зверь.
файлик в rar архиве без пароля. сварганил не по инструкции потому что сначала скопировал на всякий случай, потом прибил. а так как и без него все работает - задумался а не отправить ли знающим людям.
Спасибо всем кто откликнется.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Войска: компутерных сантехников укомплектованные супер ботинками с магическим бонусом по скорости +5 и мышой помошником с повышенной самокликабельностью и продвинтуым AI
Прошу извинить за ошибку. Поторопился. Кстати - думается большие буквы надобны в теме непосредственно, примечание добавить там, где ссылка для загрузки запрошенных файлов. (Было прыятно прочитать спасибо )
После отправки файла проверил DrWEB cure it в защищенном режиме. Выгребло несколько несколько дряни. На всякий случай привожу лог:
c:\windows\system32\lsasss.exe инфицирован Trojan.Click.2133 - удален
c:\windows\system32\srvany.exe является потенциально опасной программой Program.SrvAny
c:\windows\system32\srvany.exe - перемещен
c:\windows\system32\tmp5.tmp.dll инфицирован Trojan.Juan - удален
C:\Documents and Settings\Dmitry\Local Settings\Temp\tmp3.tmp.exe инфицирован Trojan.DownLoader.19433 - удален
C:\Documents and Settings\Dmitry\Local Settings\Temp\tmp4.tmp.exe инфицирован Trojan.Packed.49 - удален
C:\Documents and Settings\Dmitry\Local Settings\Temp\tmp5.tmp.exe инфицирован Trojan.Packed.49 - удален
C:\Documents and Settings\Dmitry\Local Settings\Temporary Internet Files\Content.IE5\0LQJ01AF\fish20070418[1] инфицирован Trojan.Packed.49 - удален
C:\Documents and Settings\Dmitry\Local Settings\Temporary Internet Files\Content.IE5\3LCS17RL\drf1177568675[1].htm инфицирован Trojan.Packed.49 - удален
C:\Documents and Settings\Dmitry\Local Settings\Temporary Internet Files\Content.IE5\3LCS17RL\drf1177568675[1].htm.exe инфицирован Trojan.Packed.49 - удален
C:\Documents and Settings\Dmitry\Local Settings\Temporary Internet Files\Content.IE5\MJ25WFYZ\ffa_dn_20070424[1] инфицирован Trojan.Packed.49 - удален
C:\Documents and Settings\Dmitry\Local Settings\Temporary Internet Files\Content.IE5\VX7OP3JS\lientnstaller15_02[1] инфицирован Trojan.DownLoader.19433 - удален
>C:\Documents and Settings\Алексей\Local Settings\Temporary Internet Files\Content.IE5\W9YZ0PEF\0f87456fc4a1ac162ea4794 358a3d5b3[1] инфицирован Trojan.Click.2133 - удален
Пофиксил рекомендуемые пункты в HijackThis. Прошенные файлы со своего компутера прислать не могу, в связи с тем что, собственно, они удлены DrWEB'ом. Но он их определил как "нормальный" вирус с уже известным именем. В приведенном логе присутствуют.
Выполняются два стандартных скрипта в AVZ:
скрипт сбора/лечения/карантина и сбора информации для virusinfo.info
скрипт сбора неопознанных подохрительных файлов
результат выложу по готовности.
-----
PS. не сразу ответил на сообщения - услали за железом. Доделываю. Видю стал "редиской"
Последний раз редактировалось WhiteWolf; 26.04.2007 в 20:24.
Причина: Продолжение работы/добавление
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: