Обратился на форум DrWeb с просьбой помочь вылечить новый Trojan, его добавили в базу и теперь зараженные файлы лечаться (удаляются), но почему-то лечиться не до конца, после перезагрузки троян вновь висит в памяти и делает свое черное дело.
Мне посоветовали обратиться на ваш форум.
У кого есть опыт в исследованиях таких троянов, подскажите, откуда он запускается при перезагрузках, чтобы я его отрубил?
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Давайте пока так: файл virusinfo_cure.zip загрузите по ссылке http://virusinfo.info/upload_virus.php?tid=13618 , как написал rubin. Далее, в папке LOG программы AVZ должен быть файл virusinfo_syscure.zip - его надо прикрепить к теме. Далее, программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:
Давайте пока так: файл virusinfo_cure.zip загрузите по ссылке http://virusinfo.info/upload_virus.php?tid=13618 , как написал rubin. Далее, в папке LOG программы AVZ должен быть файл virusinfo_syscure.zip - его надо прикрепить к теме. Далее, программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:
О чем вообще речь? Goggy2, вы считаете что C:\Program Files\ProcessKiller\prkiller.exe это троян? Удаляете, а он восстанавливается?
Может, уже пора службу восстановления системы отключить?
О чем вообще речь? Goggy2, вы считаете что C:\Program Files\ProcessKiller\prkiller.exe это троян? Удаляете, а он восстанавливается?
Может, уже пора службу восстановления системы отключить?
Нет, этой программой я удаляю троян из памяти каждый раз после перезагрузки системы.
При первом запуске зараженного файла троян стал выходить в интернет как процесс IEXPLORER.EXE , после второго запуска, стал выходить также как Opera (оба процесса в памяти висели).
Больше я этот зараженный файл не запускал.
Далее, когда троян добавили в базу DrWeb, я проверил все диски и DrWeb нашел один файл и удалил его, теперь в памяти висит только один процесс IEXPLORER.
То есть DrWeb не полностью вылечил систему и кроме того не отрубил автозагрузку трояна.
Вот мне и нужно узнать, откуда он грузиться, чтобы самому отрубить его.
Я же высылал его уже, во втором своем посту приаттаченный.
2all:
Остается пара непоняток, эта служба, которую я удалил, была в выключенно состоянии, без автозапуска, тогда Троян, либо его часть ее каким-то образом запускал, но откуда?
PavelA
надо профиксить вот это:
O20 - AppInit_DLLs: firewall\wl_hook.dll firewall\wl_hook.dll firewall\wl_hook.dll firewall\wl_hook.dll firewall\wl_hook.dll
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: