-
Junior Member
- Вес репутации
- 55
Подозрение на вирусы...
Здравствуйте!
Случайно обнаружил, что на карте памяти моего телефона появился авторанер и непонятный .pif - файл с рандомным(набор букв) именем. Выяснилось это случайно, путём подключения телефона к компьютеру в режиме "Карта памяти": KIS2010 предложил произвести обычную в этом случае проверку файлов на съёмном носителе и в процессе "Быстрой проверки" обнаружил авторанера. Удалил. На тот самый файл с расширением .pif ругаться не стал.. Я переименовал расширение файла в .txt на самом телефоне при помощи X-Plore и просмотрел его содержимое(там же, на телефоне). В глаза сразу бросилась строка "Hello world!"(буквы были разделены разными значками).. Насколько помню, данная строка появлялась в описании к файловому вирусу Win32.Sality... Самое интересное, что телефон в режиме "Съёмный носитель" не подключался уже очень давно - в основном, в режме PCSuite и именно к тому компьютеру, где сработал KIS... Загадки, да и только...
Произвёл он-лайн проверку на сайте Лаборатории Касперского и сайте Доктор Вэб: результат - "нулевой".. На ВирусТотале - идентифицирован 13/43.. Если вам понадобится "образец" - могу прислать: копия ещё есть.
Хочу теперь убедиться, что на компьютере ничего от Салити нет... Сделал необходимые логи, прилагаю:
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Здравствуйте!
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\WINDOWS\system32\drivers\df.sys','');
QuarantineFile('C:\Program Files\teraterm\ttptek.dll','');
QuarantineFile('C:\System Volume Information\_restore{33A6B616-2561-409B-81D6-9E9F63C76601}\RP218\A0175182.pif','');
DeleteFile('C:\System Volume Information\_restore{33A6B616-2561-409B-81D6-9E9F63C76601}\RP218\A0175182.pif');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.
- Сделайте лог Гмер
-
-
Junior Member
- Вес репутации
- 55
Скрипт выполнен. Карантин создан и отправлен:
Файл сохранён как 110221_134724_quarantine_4d6242bcebe43.zip
Размер файла 238316
MD5 f3b383e79f897f9e8a124ac6ab6c0249
Gmer в процессе экспресс-проверки обнаружил скрытый процесс(см. скриншот). При запуске полного сканирования на проверке драйвера Ntfs.sys - дважды вылетает в BSOD... Попробую третий раз - если снова произойдёт такой же затык - смогу приложить только лог экспресс-проверки...
Последний раз редактировалось Hamrad; 21.02.2011 в 14:01.
Best regards & 73!
-
Junior Member
- Вес репутации
- 55
Лог от Гмера получен... Сканирование шло очень долго и в конце, когда сохранял лог, компьютер повис намертво. После ребута лог, слава Богу, оказался на месте...
Прикладываю:
P.S. Странно, KIS постоянно включён и регулярно обновляется, тем не менее, зараза попала-таки...
-
- Сохраните текст ниже как 1.bat в ту же папку, где находится gmer.exe(GMER) и запустите этот батник(1.bat):
Код:
gmer.exe -del service yqjppud
gmer.exe -del file "C:\WINDOWS\system32\jsnyyxe.dll"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\yqjppud"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet005\Services\yqjppud"
gmer.exe -reboot
Компьютер перезагрузится.
После перезагрузки:
- Сделайте повторные логи АВЗ
-
-
Junior Member
- Вес репутации
- 55
Гмер отработал с ошибками наподобие "Не найден указанный модуль". После перезагрузки запустил Гмер на экспресс-анализ: руткит-активности вроде не выявлено... Нужен ли новый лог от Гмера?
KIS не может завершить операцию обновления баз - завершается с соответствующей ошибкой.
Новые логи AVZ и HiJackThis прилагаю:
-
Junior Member
- Вес репутации
- 55
KIS по-прежденму не может обновиться; откат к предыдущей версии вирусной базы не помог. Интерент работает с "тормозами"... В Диспетчере Задач "левых" процессов не висит...
-
Junior Member
- Вес репутации
- 55
Проблема с обновлением KIS-а решилась путём переустановки программы. Попробовал просмотреть логи самостоятельно - вроде бы ничего плохого не заметил.. На всякий случай отправил вам по красной ссылке тот самый подозрительный pif-файл:
Файл сохранён как 110222_100627_EWVRNX.pif_4d63607395ce2.zip
Размер файла 7504
MD5 9c304c486ccb1d9bb4fda7252e85c4e5
-
Junior Member
- Вес репутации
- 55
Тему можно закрывать за давностью.
Новые угрозы не обнаружены.
Всем спасибо!
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 7
- В ходе лечения вредоносные программы в карантинах не обнаружены
-