Тема закрыта
При просмотре на рабочем (в конторе) компьютере одной из страниц (торгаши стройматериалами) SpiderGuard выявил трояна, удалил. Всё казалось бы хорошо. На следующий день, распечатывали документ в моё отсутствие, "компьютер самостоятельно перезагрузился", это со слов пользователя. Возможно совпадение, возможно что-то произошло... Ну не важно. Звонят мне, говорят, что загружается только рабочий стол, без иконок, без панели задач. Приезжаю, проверяю. Загрузка идёт как обычно, но очень долго держится экран приветствия. Загружается рабочий стол и всё...
Загружаю в безопасном режиме, всё грузится. Запускаю Dr.Web сканер и прогоняю стандартные папки для местонахождения вирусов. Он находит несколько штук и удаляет их. Раньше этого было всегда достаточно... Делаю перезагрузку, опять то же самое, только рабочий стол. Понимаю, что всё не так хорошо. Загружаю безопасный режим и он тоже выдаёт чёрный экран с надписями "безопасный режим", даже не загружает сообщение о его включении. Диспетчер задач при этом работает. В списке процессов нет explorer.exe. Всё остальное не вызывает подозрений.
Забираю жёсткий диск, выбираю подозрительные файлы, не определяемые Dr.Web и прогоняю их через другие антивирусы, выявляю ещё несколько штук и отсылаю их через форму на сайте. Исправляю ошибки на диске и снова устанавливаю на рабочий компьютер. Результат ровно тот же, загружается только рабочий стол.
Работаю последующие дни на домашнем. Начальство требует что-то найти, захожу на один из сайтов, с которых словил вирусы, чтобы узнать телефон. Опять сообщение от SpiderGuard о трояне. Удаляю, едем дальше. Начинается проблема, троян засел где-то на жёстком диске и постоянно записывается на карточку. Отправляю письмо со страницы через форму с подозрительным файлом. Пытаюсь загрузить Adobe Reader, он не работает. Начинаю искать проблему. Нахожу несколько троянов не определяемых Dr.Web, в разных папках. Аккуратно вырезаю их в отдельную папку. Отправляю опять через форму на странице. Т.к. Reader не хочет работать, кажется загрузка троянов была сопряжена с открытием файла pdf, поэтому он не запускался, т.к. уже был открыт. Решаю перезагружаться после удаления вирусов (или троянов). Ну и конечно вижу перед собой только рабочий стол, в безопасном режиме та же петрушка. Ну, думаю, раз с вирусами работало, надо их обратно запихнуть, благо все пути сохранены и сами объекты тоже. Беру один жёсткий диск и ставлю систему. Гружусь с него. Копирую вирусы обратно по папкам, загружаюсь, всё работает... Решаю ждать обновления баз, вечером запускаю проверку, ещё пара штук добавилась в базы. Проверяю сканером, удаляю. Решаю ради интереса перезагрузиться. Снова одинокий рабочий стол, начинаю проверять все файлы поступившие в момент заражения, всё подозрительное вырезаю. Так как толку нет, записываю логи, выкладываю их на форум. Всё кроме RkU делал в безопасном режиме, RkU загрузил из обычного режима (что удивительно).
Cписок определённых как вирусы/трояны на тот момент файлов, те которые Dr.Web не определил, я отношу к вирусам:
Началось всё с загрузки 129[1].pdf - инфицирован Exploit.PDF.179 C:\Documents and Settings\User\Local Settings\Temporary Internet Files\Content.IE5\O15B4IP2
load.exe - не определялся, на диске отсутствовал, скачал его позже для проверки (далее Win32.HLLW.Autoruner.6326) - в папке C:\Documents and Settings\User\Local Settings\Temporary Internet Files обнаружилась ссылка на этот файл со временем изменения подозрительных файлов hxxp://nu988.biz/myy/load.php?id=5 Эта ссылка сработала в момент открытия одного из сайтов (сложно сказать, был ли вирус уже на компьютере, может его запуск просто совпал по времени).
rdl6D.tmp.exe - инфицирован Trojan.PWS.LDPinch.4308 C:\WINDOWS\TEMP
rdl11.tmp - инфицирован Win32.HLLW.Autoruner.6317 C:\Documents and Settings\User\Local Settings\Temp
pin[1].exe - инфицирован Trojan.PWS.LDPinch.4308 С:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\89ABCDEF
Вот этих он уничтожил сразу, остальные, а их было порядка десяти, пролезли.
rdl9B.tmp - инфицирован Win32.HLLW.Autoruner.6317 C:\Documents and Settings\User\Local Settings\Temp
rdl6C.tmp.exe - не определялся (после отправки в Dr.Web его занесли в базу как Trojan.PWS.Webmonier.137) C:\WINDOWS\Temp
svchost.exe - инфицирован Win32.HLLW.Autoruner.6326 C:\Program Files\Microsoft Common
wpv521238422083.exe - не определялся C:\WINDOWS\Temp
00717EFF.exe - не определялся C:\WINDOWS\Temp
CD031402.exe - не определялся C:\WINDOWS\Temp
557.exe - не определялся (далее Trojan.PWS.Webmonier.137) C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\01234567
inside.exe - не определялся C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\GHIJKLMN
msvcrt57.dll - не определялся (далее Trojan.DownLoad.5244) C:\WINDOWS\system32
autorun.exe - не определялся (далее Win32.HLLW.Autoruner.6326) находился в корне карточки, как вирус определялся autorun.inf содержащий данные для автозагрузки вируса.
rdl1.tmp - не определялся (далее Win32.HLLW.Autoruner.6317) C:\Documents and Settings\User\Local Settings\Temp
Есть вероятность, что часть из них (это могут быть только файлы rdl*) попала на диск ранее, в связи с чем они были не определены.
Все вирусы бережно хранятся в архиве, я их отправлял в Dr.Web
Номера выигрышных билетов 895021 (wpv), 895020 (00717EFF), 901665 (inside)
Прикрепленные файлы:
-
cureit_results.cab 132,23К
65 Скачано раз
-
hijackthis.rar 4,07К
67 Скачано раз
-
Report_rku.rar 3,91К
81 Скачано раз
Сообщение было изменено userr: 03 Июнь 2009 - 15:08
