Показано с 1 по 4 из 4.

MBR Троян ? (заявка № 23977)

  1. #1
    Junior Member Репутация
    Регистрация
    03.06.2008
    Сообщений
    2
    Вес репутации
    32

    Question MBR Троян ?

    Комп начал тормозить. Удалил все временные папки, кэш эксплорера, куки.
    НОД32 выловлил модифицированный Win32/TrojanDownloader.Wigon.O.
    При проверке avz обнаружил перехваты - в составе модулей пространства ядра присутствует sys-файл вида s???.sys (после каждой загрузки с разным именем)без путей в имени и без описания.
    RegRun Partizan периодически находит при загрузке sys файлы с произвольными именами и местоположениями, физически на диске отсутствующие.
    FIXMBR на троян впечатления не произел (при загрузке все по прежнему).
    После одного из запусков FIXMBR НОД32 неожиданно поймал модифцированный Win32/TrojanDropper.Agent.NJY (точно раньше не было).
    Логи прилагаю.
    Буду признателен за помощь.
    Вложения Вложения

  2. Реклама
     

  3. #2
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1782
    Отключите антивирус!


    Пофиксить


    Код:
    F2 - REG:system.ini: Shell=C:\WINDOWS\explorer.exe
    O17 - HKLM\System\CCS\Services\Tcpip\..\{03EBFD1B-CEA7-4129-B861-0FA53A11C254}: NameServer = 85.255.116.123,85.255.112.219
    O17 - HKLM\System\CCS\Services\Tcpip\..\{087823F8-8ED2-461F-BF27-0F38FAD18631}: NameServer = 85.255.116.123,85.255.112.219
    O17 - HKLM\System\CCS\Services\Tcpip\..\{1A472F3A-A498-4853-89AE-A4B8FE01D1D7}: NameServer = 85.255.116.123,85.255.112.219
    O17 - HKLM\System\CCS\Services\Tcpip\..\{5166C5F6-9B7A-4BC8-A54B-0F8CC4E6693A}: NameServer = 85.255.116.123,85.255.112.219
    O17 - HKLM\System\CCS\Services\Tcpip\..\{C08A0EFE-E69A-489B-8DEF-A60413C34455}: NameServer = 85.255.116.123,85.255.112.219
    O17 - HKLM\System\CCS\Services\Tcpip\..\{C47BF426-0BF6-423C-B542-CF9627524939}: NameServer = 85.255.116.123,85.255.112.219
    O17 - HKLM\System\CCS\Services\Tcpip\..\{E0D81AD2-B769-44EB-B6A8-D20644F42085}: NameServer = 85.255.116.123,85.255.112.219
    O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.123 85.255.112.219
    O17 - HKLM\System\CS1\Services\Tcpip\..\{03EBFD1B-CEA7-4129-B861-0FA53A11C254}: NameServer = 85.255.116.123,85.255.112.219
    O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.123 85.255.112.219
    O17 - HKLM\System\CS2\Services\Tcpip\..\{03EBFD1B-CEA7-4129-B861-0FA53A11C254}: NameServer = 85.255.116.123,85.255.112.219
    O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.123 85.255.112.219
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\WINDOWS\system32\kdlzm.exe ',' ');    
    DeleteFile('kdlzm.exe');
    DeleteFile('C:\WINDOWS\system32\kdlzm.exe ');      
    BC_ImportALL;  
    ExecuteSysClean;
    BC_Activate;
    ExecuteRepair(6);
    ExecuteRepair(8);
    RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);    
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    Прислать карантин согласно приложения 3 правил .
    Загружать по ссылке:http://virusinfo.info/upload_virus.php?tid=23977

    Ядро и MBR это разные вещи,ваш руткит sp??-эмулятор дисков

    Повторите логи.

  4. #3
    Junior Member Репутация
    Регистрация
    03.06.2008
    Сообщений
    2
    Вес репутации
    32
    Все пофиксил,
    скрипты прошли успешно,
    карантин отправил,
    логи прилагаю...


    Цитата Сообщение от Гриша Посмотреть сообщение
    Ядро и MBR это разные вещи,ваш руткит sp??-эмулятор дисков
    А чего тогда ведёт себя по свински...
    Вложения Вложения

  5. #4
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,549
    Вес репутации
    941

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 6
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\kdlzm.exe - Trojan.Win32.Monder.gen (DrWEB: Trojan.Virtumod.based.14)


  • Уважаемый(ая) petersid, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Trojan.Win32.Ddox.ci и троян "троян маячок"
      От eugenmax в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 03.08.2011, 14:06
    2. троян
      От Софья в разделе Помогите!
      Ответов: 0
      Последнее сообщение: 22.02.2011, 11:16
    3. Троян
      От Irishnn в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 18.06.2010, 14:05
    4. Ответов: 6
      Последнее сообщение: 28.02.2009, 16:27
    5. Ответов: 2
      Последнее сообщение: 31.01.2008, 09:48

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00861 seconds with 21 queries