-
Junior Member
- Вес репутации
- 55
Постоянно появляются трояны в корне диска
На диске С постоянно появляются трояны "Trojn.Click.26172", по классификации DrWeb, в виде файлов с названиями из бесмысленого набора букв и цифр, каждый раз разных, с расширениями .exe и .bat. На машине установлены агент DrWeb Enterprise Suit и AVG Anti-Rootkit Free, но они ничего не видят, при прогоне в безопасном режиме Cureit и AVPTool находят этих троянов и удаляют их, но они появляются снова. AVZ ругается только на эмулятор Hasp, но он стоит на машине уже давно.
Windows тоже ругается на эти файлы "Приложение вызвало ошибку и будет закрыто", в результате работать нормально на машине невозможно.
Последний раз редактировалось AndreyET; 11.12.2009 в 10:16.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Пришлите (согласно правил) посмотреть:
Код:
begin
QuarantineFile('c:\KbIT0.exe','');
QuarantineFile('C:\WINDOWS\system32\SAiDownloader.exe','');
QuarantineFile('C:\WINDOWS\system32\HotFldr.dll','');
end.
Основная проблема у вас в этом:
Код:
Platform: Windows XP SP2
Установка SP3 и последующей кучи заплаток - обязательно.
ЗЫ ещё парочку добавил на посмотреть...
Последний раз редактировалось Shu_b; 25.06.2009 в 10:49.
Причина: ещё парочку добавил на посмотреть...
-
-
Junior Member
- Вес репутации
- 55
Файла KbIT0.exe не нашел, остальные отправляю, плюс добавил то что появляется на диске.
Последний раз редактировалось Rene-gad; 25.06.2009 в 14:45.
-
А если почистить "назначенные задания" ака планировщика?
-
-
Junior Member
- Вес репутации
- 55
Почистил планировщика, поставил все заплатки на Windows, пока ничего нет, посмотрим что будет дальше.
-
Сообщение от
AndreyET
Почистил планировщика, поставил все заплатки на Windows, пока ничего нет, посмотрим что будет дальше.
попробуйте всё таки через авз: файл-выполнить скрипт
Код:
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('c:\KbIT0.exe','');
DeleteFile('c:\KbIT0.exe');
ExecuteSysClean;
RebootWindows(true);
end.
и сделайте ещё раз логи
Последний раз редактировалось Shu_b; 25.06.2009 в 16:06.
-
-
Junior Member
- Вес репутации
- 55
Скрипт выполнил, вот новые логи.
Последний раз редактировалось AndreyET; 11.12.2009 в 10:16.
-
Junior Member
- Вес репутации
- 55
-
А вы в корне левые bat файлы все убрали? (они являютя как бы загрузчиками)
В планировщике нового ничего не появилось?
реинкарнировался...
Код:
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('c:\ZoEFiE.exe','');
DeleteFile('c:\ZoEFiE.exe');
ExecuteSysClean;
RebootWindows(true);
end.
пришлите если попадётся, заодно пришлите все bat фалы из корня.
-
-
Junior Member
- Вес репутации
- 55
Такого файла нет, и в корне ничего нового не появилось, в планировщике тоже пусто, на машинке стояла синхронизация с сетевым диском, я ее отключил и на всякий случай запустил полную проверку файлового сервера, думаю к утру закончит , завтра на машинке будет работать пользователь может чего и выскачит, по результатам отпишусь.
-
Junior Member
- Вес репутации
- 55
Проверка сервера еще не окончена, но на машинке ничего нового не появилось, работает стабильно, так что думаю проблема решена. спасибо.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 8
- В ходе лечения обнаружены вредоносные программы:
- \bzwfykrc.bat - Trojan-Downloader.JS.Agent.dxs
- \rblm.bat - Trojan-Downloader.JS.Agent.dxs
-