Из временной папки после каждой перезагрузки лезут трояны
Симптомы следующие. После перезагрузки системы и первого доступа в сеть через Оперу появляется сообщение сканера от DrWeb о том, что обнаружен некий троян-даунлоадер во временной папке (у меня это d:\temp). В папке при этом возникает файл с расширением .tmp, файл с таким же именем, но с двойным расширением .tmp.exe и еще некий e.exe. При удалении файла с помощью DrWeb одновременно пропадает и e.exe. После этого, что любопытно, Опера напрочь отказывается работать (при этом Эксплорер работает!). При вставлении флешки в компьютер на ней появляются autorun.inf и autorun.exe, причем autorun.exe не определяется как вирус ни DrWeb'ом, ни онлайн-сканером от Касперского.
Сканирование с помощью CureIt! в защищенном режиме выявило некую завирусованную dll в одной из системных папок. После ее удаления изменилось только то, что Опера перестала отказываться работать. Всё остальное осталось.
К сожалению, записи о точной дислокации и наименовании отловленных (и отлавливаемых) вирусов остались у меня на работе, а пишу я из дома. Если критично, могу уточнить завтра (во вторник) утром.
Полный Windows Update сделал.
Логи прилагаются.
Заранее спасибо!
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Скрипт выполнил. Сообщения о вирусах, перехватываемых DrWeb'ом, стали более разнообразными (фигурировали Win32.HLLW.Autoruner.6317, Trojan.PWSBanker.29027, Trojan.Download.38404, Trojan.PWS.LDPinch.4308 ).
Карантин приаттачил. Собираюсь сделать логи.
А можно ли что-нибудь сделать, чтобы скрипт лечения/карантина и сбора информации игнорировал заданные папки на c: ? или хотя бы включать на это время интернет или какие-нибудь задачи? Проверка MSDN занимает несколько часов, я не могу на работе столько времени без сети... если только на ночь оставлять.
Кстати, при выполнении скриптов происходила ошибка приложения Gsvr.exe. А при перезагрузке обычно вылетает AcroRd32.exe, вроде бы это началось одновременно с (видимым) появлением вирусов.
Лед тронулся!
Для указанного файла сделал "Kill", а не "Delete" (правильно?), затем, по указанию gmer'а, перезагрузился (может, и не надо было). После перезагрузки не запустился explorer, рабочий стол был пустой. Запустил скрипт через диспетчер процессов, перезагрузился, и что же, теперь после соединения с сетью вирусы из временной папки не вылезают, флешка не заражается.
Сам файл svchost.exe физически остался на месте. Он не определяется как вирус ни DrWeb'ом, ни Касперским. Если интересен, могу его выслать.
Жду дальнейших указаний.
Да, explorer стартует нормально (скрипт что-то такое написал, с ним связанное, отключение атрибута "debugger" или что-то в этом роде).
Есть нормальный svchost.exe в папке system32 (14336 байт, 14.04.08 ), а есть и вирусный, насколько я понимаю, но уже не загружаемый системой, - в Microsoft Common. Размер - 36352 байта. Дата и время соответствуют последней "вирусной" загрузке. Антивирусы на него не реагируют. Как я сказал, в gmer'е я выбрал только "Kill", а не "Delete", наверно, из-за этого и не удалился. Выслать?
Последний раз редактировалось Гондурас; 08.07.2009 в 18:23.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: