-
Junior Member
- Вес репутации
- 54
Вирусы лезут через svchost
Здравствуйте. Вчера столкнулся с такой проблемой: работая в интернете NOD32 выдал сообщение о возможности заражения, примерно такое
LocalSetting\Temp\BN10.tmp
aVariant of Win32/Kryptik.APD trojan
Comment: Event occurred on a file modified by the application: C:\WINDOWS\System32\svchost.exe. The file was moved to quarantine. You may close this window.
Первое сканирование Dr. Web CureIt позволило обнаружить ок. 7 троянов. Дальнейшие скнирования вирусов не находят, однако при подключении к интернету NOD продалжает выдавать сообщения типа:
LocalSetting\Temp\2AF.tmp
aVariant of Win32/TrojanDropper.AgentOIA trojan
Comment: Event occurred on a file modified by the application: C:\WINDOWS\System32\svchost.exe. The file was moved to quarantine. You may close this window.
или
LocalSetting\Temp\BN11.tmp
aVariant of Win32/Kryptik.APD trojan
Comment: Event occurred on a file modified by the application: C:\WINDOWS\System32\svchost.exe. The file was moved to quarantine. You may close this window.
После выхода из интернета и сканирования ни NOD ни Dr. Web CureIt ничего подозрительного не находят.
Обычно по 2 подобных трояна блокируются при первом выходе в интернет, затем с периодичностью 10-15 минут NOD ругается на троянов.
Буду признателен за помощь.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
QuarantineFile('C:\Documents and Settings\Alexey\Главное меню\Программы\Автозагрузка\ikowin32.exe','');
QuarantineFile('C:\WINDOWS\system32\tftp.nfo','');
TerminateProcessByName('c:\documents and settings\alexey\restorer32_a.exe');
QuarantineFile('c:\documents and settings\alexey\restorer32_a.exe','');
TerminateProcessByName('c:\windows\system32\restorer32_a.exe');
QuarantineFile('c:\windows\system32\restorer32_a.exe','');
DeleteFile('c:\windows\system32\restorer32_a.exe');
DeleteFile('c:\documents and settings\alexey\restorer32_a.exe');
DeleteFile('C:\WINDOWS\system32\tftp.nfo');
DeleteFile('C:\Documents and Settings\Alexey\Главное меню\Программы\Автозагрузка\ikowin32.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','restorer32_a');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','restorer32_a');
DeleteFile('C:\WINDOWS\system32\regedit.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Regedit32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(16);
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 54
Скрипт выполнил, карантин выслал, новые логи приложил.
P.S.: после выполнения скрипта, антивирус больше не ругается. Спасибо!
-
restorer32_a.exe - Trojan-Dropper.Win32.Agent.benl
ikowin32.exe - Backdoor.Win32.Bredolab.aap
tftp.nfo - Backdoor.Win32.Bredavi.dt
В логах чисто
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 14
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\alexey\restorer32_a.exe - Backdoor.Win32.HareBot.om ( DrWEB: Trojan.DownLoad.41506, BitDefender: Trojan.Agent.ANPH, NOD32: Win32/Agent.QDK trojan )
- c:\documents and settings\alexey\главное меню\программы\автозагрузка\ikowin32.exe - Backdoor.Win32.Bredolab.aap ( DrWEB: Trojan.Botnetlog.11, BitDefender: Gen:Packed.bq0@eWyIhXmi )
- c:\windows\system32\restorer32_a.exe - Backdoor.Win32.HareBot.om ( DrWEB: Trojan.DownLoad.41506, BitDefender: Trojan.Agent.ANPH, NOD32: Win32/Agent.QDK trojan )
- c:\windows\system32\tftp.nfo - Backdoor.Win32.Bredavi.dt ( DrWEB: Trojan.Packed.2921, BitDefender: Trojan.Generic.2500990, NOD32: Win32/Oficla.F trojan )
-