Jump to content
СофтФорум - всё о компьютерах и не только

Подозрение на заражение


Recommended Posts

Здравствуйте!

Прошу помощи в диагностике и лечении системы. Несколько дней назад подцепила заразу в виде баннера, блокирующего систему. С ним справилась с помощью Касперского, введя один из предоставленных им кодов. Но думаю что этим проблема не решилась, и скорее всего кто то нехороший где то сидит.

Еще одна зараза похуже - это Kido, обнаруживающийся Касперским при установке флэшек на компьютер. Размещается на флэшке в папке RESYCLER, я так думаю, потому что заражены две флэшки, и папки эти явно нерукотворны)). Удаляются легко, но вскоре появляются вновь. Я думала что лезут с компьютера, но после форматирования флэшек пока эта папка не появляется. Пока?.....

Касперский при полной проверке ничего не находит, сканировала онлайн-сканером ESET, вот что он нашел

трояны.txt

При подготовке по вашим правилам CureIT ничего не нашел.

Не являюсь продвинутым пользователем...

Все выполнила, вот логи

virusinfo_syscure.zip

virusinfo_syscheck.zip

info.txt

log.txt

Спасибо

трояны.txt

virusinfo_syscure.zip

virusinfo_syscheck.zip

info.txt

log.txt

Link to comment
Share on other sites

Активного заражения пока не вижу

Почему у вас логи авз(Windows: 6.1.7600) и rsit (Microsoft Windows XP Home Edition Service Pack 3)с разных систем?

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные.... смотрите, что удаляете). Откройте лог и скопируйте в сообщение.

Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. http://data.mbamupda.../mbam-rules.exe Загрузить обновление MBAM.[/url]

Edited by edde
Link to comment
Share on other sites

вот лог MBAM

Malwarebytes' Anti-Malware 1.50.1.1100

www.malwarebytes.org

Версия базы данных: 5631

Windows 5.1.2600 Service Pack 3

Internet Explorer 8.0.6001.18702

28.01.2011 22:06:20

mbam-log-2011-01-28 (22-06-20).txt

Тип сканирования: Полное сканирование (C:\|)

Просканированные объекты: 272285

Времени прошло: 42 минут, 38 секунд

Заражённые процессы в памяти: 0

Заражённые модули в памяти: 0

Заражённые ключи в реестре: 2

Заражённые параметры в реестре: 0

Объекты реестра заражены: 3

Заражённые папки: 0

Заражённые файлы: 1

Заражённые процессы в памяти:

(Вредоносных программ не обнаружено)

Заражённые модули в памяти:

(Вредоносных программ не обнаружено)

Заражённые ключи в реестре:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{BEA98466-17DE-E21D-32C4-DD16EBFD018C} (Adware.AdRotator) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{BEA98466-17DE-E21D-32C4-DD16EBFD018C} (Adware.AdRotator) -> Quarantined and deleted successfully.

Заражённые параметры в реестре:

(Вредоносных программ не обнаружено)

Объекты реестра заражены:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Заражённые папки:

(Вредоносных программ не обнаружено)

Заражённые файлы:

c:\documents and settings\Котёнок\local settings\application data\Ahead\nero home\idx\deletable (Trojan.Goldun) -> Quarantined and deleted successfully.

логи АВЗ

virusinfo_syscure.zip

virusinfo_syscheck.zip

virusinfo_syscure.zip

virusinfo_syscheck.zip

Link to comment
Share on other sites

@Sfera, самочувствие нормальное, на флэшках пока ничего не обнаруживается. Меня больше всего этот Kido флэшечный беспокоил, боялась что нагадит где-нибудь. А так жалоб нет))) А в логах есть что нибудь нехорошее? Если нет, то видимо проблема решилась, спасибо большущее))

Link to comment
Share on other sites

@ephemera,

в логах чистота и порядок, думаю, что вам беспокоиться не о чем

при Kido рекомендуется

Установить пароль на учетную запись администратора, если пароль установлен, то убедитесь в его сложности (qwert или 1234 не есть сложный пароль)

Отключить автозапуск программ с различных носителей, кроме CDROM. Для этого скопируйте этот код в блокнот, сохраните под любым именем с расширением .reg Кликните по файлу и подтвердите добавление в реестр.

Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]"NoDriveTypeAutoRun"=dword:000000dd

Очистить и создать новую контрольную точку восстановления:

1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить

2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.

Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected. если вы используете Firefox, нажмите Firefox - Select All - Empty Selected[*] нажмите No, если вы хотите оставить ваши сохраненные пароли [*] если вы используете Opera, нажмите Opera - Select All - Empty Selected нажмите No, если вы хотите оставить ваши сохраненные пароли

Рекомендуем для предотвращения заражения:

- не работать за компьютером с правами администратора

- в Internet Explorer отключить ActiveX и настроить безопасность (рекомендую использовать Firefox c плагином NoScript)

- регулярно устанавливать обновления windows и обновлять антивирусные базы.

Edited by Sfera
Link to comment
Share on other sites

@Sfera,

Еще раз большое спасибо, рекомендации все выполню обязательно, если не трудно, можно поподробнее про "Firefox c плагином NoScript", имеется в виду браузер? Пользуюсь именно им.

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

 Share

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...