Размещено 12.04.2010 15:10:12
Обстановка следующая:
Дней примерно 10 назад я поставил на домашнюю машинку nod32. Версия 2.7. Ключа нет, но "триальный" период еще не кончился.
До этого стоял drweb (с подлинным ключом), но его последняя версия слишком уж стала тормозить работу компа.
Win-XP, SP3. Комп подключен к инету через внешний роутер dlink, внешний IP - public, через роутер смапированы несколько tcp-портов: для аськи, для radmin-а и т.п.
Резидентный монитор AMON регулярно вывешивает предупреждения о вирусах. Происходит это (я уж не знаю совпадение это или нет) только при запущенном браузере (opera 9.27). Один раз такое было ровно в момент запуска браузера (опера при этом открывает вся свои ранее открытие окна с сайтами).
Но чаще это происходит в период, когда на компе никакой активности нет! Утром приду - на дисплее предупреждение от AMONа. Ничего подозрительного при этом не открыто. Сегоня "в ночное" оставались api.joomla.org, ucoz.ru, php.net, разные yandex-ы, dbug.ospinto.com, rutracker. По "детско-юношеским" сайтам не гуляю, староват-с. Утром - опять червяк.
Проверка (сканер по требованию) выполнена не раз, в том числе с самими параноидальными настройками, ничего не дала. Дрвеб, который тут не один год работал, подобной паранормальной активности никогда не регистрировал - если уж он что-то ловил, то источник всегда был понятен.
Логи показать сложно - из окошка показа логов в "буфер обмена" они копируются в какой-то неопознаваемой кодировке, а где в настройках программы включить английский язык интерфейса я так и не нашел.
NOD32 CC -> Логи -> Лог вирусов
Bpeìÿ Moäóëü Oáúeêò Èìÿ Bèpóc Äeécòâèe Ïoëüçoâaòeëü Èíôopìaöèÿ
^^^^^ вся кирилица в таком вот виде
дальше я ее вычищу
12-04-2010 13:29:41 AMON C:\TEMP\742.tmp Win32/Kryptik.DCR MIKE\admin C:\WINDOWS\system32\svchost.exe.
12-04-2010 13:29:31 AMON C:\TEMP\741.tmp Win32/Kryptik.DCR MIKE\admin C:\WINDOWS\system32\svchost.exe. 10-04-2010 02:32:52 AMON C:\WINDOWS\system32\sfcfiles.dll.bak Win32/Agent.QYP MIKE\admin E:\Programs\Opera\Opera.exe.
10-04-2010 02:31:45 AMON C:\WINDOWS\system32\sfcfiles.dll Win32/Agent.QYP MIKE\admin E:\Programs\Opera\Opera.exe.
08-04-2010 16:27:27 AMON C:\WINDOWS\System32\rihd.VVpno Win32/Oficla.FS \Device\HarddiskVolume2\WINDOWS\System32\rihd.VVVpno C:\WINDOWS\system32\wbem\wmiprvse.exe.
07-04-2010 18:24:26 AMON C:\WINDOWS\System32\rihd.Vpno Win32/Oficla.FS \Device\HarddiskVolume2\WINDOWS\System32\rihd.VVpno C:\WINDOWS\system32\wbem\wmiprvse.exe.
06-04-2010 21:22:59 AMON C:\WINDOWS\system32\drivers\sfc.sys Win32/Rootkit.Agent.NSY NT AUTHORITY\SYSTEM C:\WINDOWS\system32\winlogon.exe.
06-04-2010 18:48:20 C:\TEMP\16C8.tmp Win32/Oficla.FS
06-04-2010 18:46:49 C:\WINDOWS\system32\rihd.pno Win32/Oficla.FS
06-04-2010 10:20:21 AMON C:\TEMP\18EB.sys Win32/Rootkit.Agent.NSY NT AUTHORITY\SYSTEM C:\WINDOWS\system32\spoolsv.exe.
И что мне с этим все делать, с таким красивым?
Что это - ложные срабатывания?
Если это действительно зараза, то как она ко мне проникает? Где эта дырка, как ее законопатить?
Дней примерно 10 назад я поставил на домашнюю машинку nod32. Версия 2.7. Ключа нет, но "триальный" период еще не кончился.
До этого стоял drweb (с подлинным ключом), но его последняя версия слишком уж стала тормозить работу компа.
Win-XP, SP3. Комп подключен к инету через внешний роутер dlink, внешний IP - public, через роутер смапированы несколько tcp-портов: для аськи, для radmin-а и т.п.
Резидентный монитор AMON регулярно вывешивает предупреждения о вирусах. Происходит это (я уж не знаю совпадение это или нет) только при запущенном браузере (opera 9.27). Один раз такое было ровно в момент запуска браузера (опера при этом открывает вся свои ранее открытие окна с сайтами).
Но чаще это происходит в период, когда на компе никакой активности нет! Утром приду - на дисплее предупреждение от AMONа. Ничего подозрительного при этом не открыто. Сегоня "в ночное" оставались api.joomla.org, ucoz.ru, php.net, разные yandex-ы, dbug.ospinto.com, rutracker. По "детско-юношеским" сайтам не гуляю, староват-с. Утром - опять червяк.
Проверка (сканер по требованию) выполнена не раз, в том числе с самими параноидальными настройками, ничего не дала. Дрвеб, который тут не один год работал, подобной паранормальной активности никогда не регистрировал - если уж он что-то ловил, то источник всегда был понятен.
Логи показать сложно - из окошка показа логов в "буфер обмена" они копируются в какой-то неопознаваемой кодировке, а где в настройках программы включить английский язык интерфейса я так и не нашел.
NOD32 CC -> Логи -> Лог вирусов
Bpeìÿ Moäóëü Oáúeêò Èìÿ Bèpóc Äeécòâèe Ïoëüçoâaòeëü Èíôopìaöèÿ
^^^^^ вся кирилица в таком вот виде
дальше я ее вычищу
12-04-2010 13:29:41 AMON C:\TEMP\742.tmp Win32/Kryptik.DCR MIKE\admin C:\WINDOWS\system32\svchost.exe.
12-04-2010 13:29:31 AMON C:\TEMP\741.tmp Win32/Kryptik.DCR MIKE\admin C:\WINDOWS\system32\svchost.exe. 10-04-2010 02:32:52 AMON C:\WINDOWS\system32\sfcfiles.dll.bak Win32/Agent.QYP MIKE\admin E:\Programs\Opera\Opera.exe.
10-04-2010 02:31:45 AMON C:\WINDOWS\system32\sfcfiles.dll Win32/Agent.QYP MIKE\admin E:\Programs\Opera\Opera.exe.
08-04-2010 16:27:27 AMON C:\WINDOWS\System32\rihd.VVpno Win32/Oficla.FS \Device\HarddiskVolume2\WINDOWS\System32\rihd.VVVpno C:\WINDOWS\system32\wbem\wmiprvse.exe.
07-04-2010 18:24:26 AMON C:\WINDOWS\System32\rihd.Vpno Win32/Oficla.FS \Device\HarddiskVolume2\WINDOWS\System32\rihd.VVpno C:\WINDOWS\system32\wbem\wmiprvse.exe.
06-04-2010 21:22:59 AMON C:\WINDOWS\system32\drivers\sfc.sys Win32/Rootkit.Agent.NSY NT AUTHORITY\SYSTEM C:\WINDOWS\system32\winlogon.exe.
06-04-2010 18:48:20 C:\TEMP\16C8.tmp Win32/Oficla.FS
06-04-2010 18:46:49 C:\WINDOWS\system32\rihd.pno Win32/Oficla.FS
06-04-2010 10:20:21 AMON C:\TEMP\18EB.sys Win32/Rootkit.Agent.NSY NT AUTHORITY\SYSTEM C:\WINDOWS\system32\spoolsv.exe.
И что мне с этим все делать, с таким красивым?
Что это - ложные срабатывания?
Если это действительно зараза, то как она ко мне проникает? Где эта дырка, как ее законопатить?
