Троян или что это?

**trojandie** · 13.08.2008, 12:24

Сегодня меня забанило в IRC, причина "Мой компьютер заражен трояном".
Установив пробную версию kav7.0.1.325ru, проапдетив до конца, просканировав, ничего не нашел... Потом сканировал программой spybotsd160. Она нашла троян в одном ключе реестра, затем я удалил его. После сканировал последней версией trojan-remover. Тоже ничего не было найдено. Далее я заметил в корне диска C появилась папка с названием "restore_#####" И в папку System Volume Information открылся доступ, так же сегодня, в ту минуту, когда забанило в IRC, в этой папке было созданно много системных файлов. Затем я отчистил полностью папку и выключил Восстановление системы. А также заметил, что "rundll32.exe" очень долго висит в процессах... После сканировал AVZ версии 4.30, вот, что мне выдало красным:
moderated:::Не постите и не прикрепляйте никакие другие файлы, логи, кроме логов HijackThis и AVZ (virusinfo_syscure.zip , virusinfo_syscheck.zip), если Вас об этом не просили.
C:\Windows\system32\iertutil.dll --> Подозрение на Keylogger или троянскую DLL
C:\Windows\system32\iertutil.dll>>> Поведенческий анализ

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Rene-gad** · 13.08.2008, 13:59

- Выполните скрипт

Код:

begin
 QuarantineFile('C:\Windows\SYSTEM32\DRIVERS\RSVP.SYS','');
 QuarantineFile('C:\Windows\system32\iertutil.dll','');
end.

- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).

**trojandie** · 13.08.2008, 14:38

Rene-gad
Залил, как ты сказал
Файл сохранён как 080813_053146_virus_48a2b812156b8.zip
Размер файла 110321
MD5 aaeeeb7239ee03237e5afa3f176f18e7

**Rene-gad** · 13.08.2008, 14:45

Попал только один файл - и тот по вирустотал- чистый. Поищите еще этот по диску:

Код:

RSVP.SYS

и пришлите тем же путем (Приложения 2 и 3 правил).

**trojandie** · 13.08.2008, 15:38

RSVP.SYS
Не найден

**Rene-gad** · 13.08.2008, 15:46

Насчет System Volume Information почитайте тут раздел: Программа CACLS в Windows XP Home Edition
Потом запустите ПК в минимальной конфигурации: msconfig, Автозапуск - Все отключить, Службы/Виндовс-Службы не показывать, остальные отключить. Перегрузиться и логи от п.10 правил - в студию.