Показано с 1 по 7 из 7.

Не долечил систему. Trojan.DownLoad.38180 (заявка № 49193)

  1. #1
    Junior Member Репутация
    Регистрация
    30.06.2009
    Сообщений
    12
    Вес репутации
    54

    Thumbs down Не долечил систему. Trojan.DownLoad.38180

    Здравствуйте.

    Вчера лечил систему, но недолечил...

    Вирь проявляет себя только при подключенном инете. Spider Guard от ДрВеб с периодичностью в несколько минут выдает сообщение "C:\WINDOWS\system32\drivers\securentm.sys - инфицирован Trojan.DownLoad.38180"
    Скрины приложу в следующем сообщении, дабы не засорять это.

    До создания логов AVZ прошелся в безопасном режиме AVPTool, который только нашел вири в карантине ДрВеб:

    ***
    Обнаружено
    ----------
    Статус Объект
    ------ ------
    удалено: троянская программа Trojan.Win32.Monder.gen Файл: C:\Program Files\DrWeb\Infected.!!!\Dc2.zip/Vir/1_alil.#
    удалено: троянская программа Trojan.Win32.Midgare.uik Файл: C:\Program Files\DrWeb\Infected.!!!\nuwkkb.exe.7FFFFFC3
    удалено: троянская программа Packed.Win32.Klone.bj Файл: C:\Program Files\DrWeb\Infected.!!!\qkudgw.exe.7B0391B3
    ***

    В AVZ при создании первого лога был загружен ДрВеб. В правилах указано, что выгрузите антивирь, но в ДрВебе нету опции "выход". Подумал отключить Spider Guard и Spider Mail, но не стал, ибо не был уверен, что подразумевалось это.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Junior Member Репутация
    Регистрация
    30.06.2009
    Сообщений
    12
    Вес репутации
    54
    При подключении к нету, вирь активно юзает инет. Netstat прилагаю. Также пореже вылетают сообщения об ошибках по типу "Обнаружена ошибка. Приложение будет закрыто". Прилагаю скрин.
    Изображения Изображения
    Вложения Вложения
    Последний раз редактировалось Zengler; 03.07.2009 в 11:15.

  4. #3
    Junior Member Репутация
    Регистрация
    30.06.2009
    Сообщений
    12
    Вес репутации
    54
    На всяк пожарный сделал лог Gmer.
    Пока делал лог gmer, вылезла ошибка от процесса spiderml. В процессах просто куча запущенных svhost.

    На данную минуту уже вырубился диспетчер задач. Сделанные скрины невозможно просмотреть. "Программа просмотра изображения и факсов" выдает сообщение: "Ошибка при построении изображения".

    Общее впечатление такое, что вирь бьет один процесс за другим.
    Вложения Вложения
    Последний раз редактировалось Zengler; 03.07.2009 в 11:14.

  5. #4
    Junior Member Репутация
    Регистрация
    30.06.2009
    Сообщений
    12
    Вес репутации
    54
    Сделал еще лог RkU. Ужаснулся.

    Эх... превысил порог суммарных допустимых размеров вложений. Осмелюсь часть лога выложить в сообщение.

    >Hooks
    Key object-->ParseProcedure, Type: Kernel Object [dwprot.sys]
    ntoskrnl.exe+0x00004AA2, Type: Inline - RelativeJump 0x804DBAA2 [ntoskrnl.exe]
    Process object-->DeleteProcedure, Type: Kernel Object [dwprot.sys]
    Process object-->OpenProcedure, Type: Kernel Object [dwprot.sys]
    Thread object-->OpenProcedure, Type: Kernel Object [dwprot.sys]
    [1272]svchost.exe-->advapi32.dll-->GetTokenInformation, Type: IAT modification 0x01001018 [advapi32.dll]
    [1272]svchost.exe-->advapi32.dll-->InitializeSecurityDescriptor, Type: IAT modification 0x01001014 [advapi32.dll]
    [1272]svchost.exe-->advapi32.dll-->OpenProcessToken, Type: IAT modification 0x0100101C [advapi32.dll]

    ***

    [1272]svchost.exe-->kernel32.dll-->GetCurrentThread, Type: IAT modification 0x01001054 [kernel32.dll]
    [1272]svchost.exe-->kernel32.dll-->GetCurrentThreadId, Type: IAT modification 0x010010AC [kernel32.dll]
    [1272]svchost.exe-->kernel32.dll-->GetProcAddress, Type: IAT modification 0x01001058 [kernel32.dll]

    ***

    [736]svchost.exe-->ntdll.dll-->wcscat, Type: IAT modification 0x010010DC [ntdll.dll]
    [736]svchost.exe-->ntdll.dll-->wcscpy, Type: IAT modification 0x010010E0 [ntdll.dll]
    [736]svchost.exe-->ntdll.dll-->wcslen, Type: IAT modification 0x01001114 [ntdll.dll]
    !!POSSIBLE ROOTKIT ACTIVITY DETECTED!! =)

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315
    Цитата Сообщение от Zengler Посмотреть сообщение
    превысил порог суммарных допустимых размеров вложений.
    Старые можно удалить, наверное. Судя по числу сообщений, это не первая ваша тема.

  7. #6
    Junior Member Репутация
    Регистрация
    30.06.2009
    Сообщений
    12
    Вес репутации
    54
    почистил избыточные скрины.

  8. #7
    Junior Member Репутация
    Регистрация
    30.06.2009
    Сообщений
    12
    Вес репутации
    54
    Топик можно закрыть. Закончилось все таки переустановкой системы.

  • Уважаемый(ая) Zengler, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 10
      Последнее сообщение: 22.12.2011, 22:39
    2. помогите долечить систему!!!
      От Myhail в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 15.06.2011, 14:38
    3. Trojan.AutoRun.Wed - помогите, пож-та, долечить!
      От ykozlov в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 05.10.2010, 10:15
    4. Долечить систему (заявка №6358)
      От CyberHelper в разделе Отчеты сервиса лечения VirusInfo
      Ответов: 1
      Последнее сообщение: 12.02.2010, 15:00
    5. uFast Download Manager (Trojan-Ransom.Win32.SMSer.qm, Trojan.Win32.Agent.dapb): описание и лечение
      От NickGolovko в разделе Вредоносные программы
      Ответов: 48
      Последнее сообщение: 30.11.2009, 23:09

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01107 seconds with 20 queries