Словил Trojan.DownLoader.35206, теперь не могу удалить
После обновления баз DrWeb'a SpiderGuard изловил Trojan.DownLoader.35206, который маскировался под C:\Windows\system32\Iexplorer.exe. Я его удалил, почистил ветку Run реестра, из которой запускался вирь, но после перезагрузки все восстанавливается как было и SpiderGuard опять его ловит. Проверил все диски DrWeb'ом, а он ничего не нашел, т.к. Iexplorer.exe уже удален spider'ом. Как мне избавиться от этой гадости?
P.S. запрошенные файлы отправил, но где они что-то не вижу.
Последний раз редактировалось DeAL; 10.11.2007 в 18:22.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Попробовал и так, ситуация не изменилась, логи прикладываю. А можно прокомментировать скрипты, а то складывается впечатление, что боремся со следствием, а не с причиной появления этого Iexplore.exe?
Закройте все программы.
Отключитесь от Интернета.
Выполните скрипт через меню Файл:
Код:
begin
SearchRootkit(true, true);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\system32\DRIVERS\kbdclasy.sys','');
QuarantineFile('C:\WINDOWS\system32\slicedisk.sys','');
BC_ImportAll;
BC_Activate;
RebootWindows(false);
end.
Компьютер перезагрузится.
Пришлите файлы из карантина AVZ (см. приложение 3 Правил).
Добавлено через 5 минут
DeAL, как временную меру можно настроить Spider Guard на действие для зараженных объектов - Лечить. Тогда файл будет удаляться, а не блокироваться как сейчас.
Последний раз редактировалось AndreyKa; 11.11.2007 в 14:41.
Причина: Добавлено
Мистика! Но по-моему восстанавливается только ключ автозапуска, а самого файла таки нет.
Если Вы про файл Iexplore.exe, то его сразу после каждой перезагрузки удаляет SpiderGuard, но он каждый раз восстанавливается, т.е. его какая-то гадина создает заново.
А это что я не знаю, если это не виндовый файл - могу удалить.
Сообщение от AndreyKa
Закройте все программы.
Отключитесь от Интернета.
Выполните скрипт через меню Файл:
Карантин выслал.
Сообщение от AndreyKa
DeAL, как временную меру можно настроить Spider Guard на действие для зараженных объектов - Лечить. Тогда файл будет удаляться, а не блокироваться как сейчас.
Так у меня после загрузки выскакивет окно спайдера, где есть выбор лечить, удалить, переименовать и т.д., я жму удалить, что он и делает успешно, но затем вирь вновь появляется и спайдер его блокирует.
Вот часть лога спайдера:
Закройте все программы.
Выполните скрипт через меню Файл:
Сделайте новые логи начиная с 10-го пункта Правил и приложите их к своей теме. Добавлено через 1 минуту
C:\WINDOWS\system32\DRIVERS\kbdclasy.sys - Trojan-Downloader.Win32.Agent.dph (KAV)
Скрипт выполнил, похоже проблема решилась. Окончательные логи прикладываю.
Всем принявшим участие огромное спасибо.
Тогда все чисто
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Remote Registry)
>> Службы: разрешена потенциально опасная служба TermService (Terminal Services)
>> Службы: разрешена потенциально опасная служба SSDPSRV (SSDP Discovery Service)
>> Службы: разрешена потенциально опасная служба TlntSvr (Telnet)
>> Службы: разрешена потенциально опасная служба Schedule (Task Scheduler)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Remote Desktop Help Session Manager)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
Что Вам не требуется?
Уважаемый(ая) DeAL, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: