-
Junior Member
- Вес репутации
- 53
Подхватил троян на одном вроде бы нормальном сайте
Добрый день! Некоторое время назад прикупил себе принтер у одной конторки. После как-то решил полезть на ихний сайт и почитать доки по нему. И тут началось. Антивирус вроде бы что-то сказал, я вроде бы что-то запретил делать. Но то ли не внимательно реагировал на сигналы антивируса, то ли ситуация была безнадежной - после этого у меня на ноуте что-то поселилось. Периодически Виста сообщает мне, что системные файлы были изменены, информирует, что некоторые службы были закрыты (DNS-клиент, какие-то сообщения COM+, например), антивирус ругается на iexplorer, что он не такой как был при последней проверке и довольно часто при перезагрузке ловит некоего Heur.Trojan.Generic (модификация) в файле C:\Windows\system32\sdra64.exе. Вроде бы что-то удаляет, но после перезагрузки все начинается с начала.
Буду очень благодарен за любую оказанную помощь. Систему переустанавливать сильно не хочется .
P.S. Вроде бы и конторка солидная - представительства в России, Украине и в других странах.
P.S.S. Если чего сделал не по правилах, то скорее всего из-за недосмотра, а не из-за злостного нежелания следовать им.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Ничего зловредного в логах нет.
Сердце решает кого любить... Судьба решает с кем быть...
-
-
Junior Member
- Вес репутации
- 53
Но у меня прямо сейчас в карантине лежит несколько троянов. Ну и я смотрел логи и там какие-то подмены функций и все такое. Может все, что я сделал по правилам, помогло?
Добавлено через 56 секунд
Вернее не в карантине, а в резервном хранилище
Добавлено через 51 секунду
Удалять все, что в резервном хранилище?
Последний раз редактировалось Ventinaro; 15.10.2009 в 17:42.
Причина: Добавлено
-
Сообщение от
Ventinaro
Но у меня прямо сейчас в карантине лежит несколько троянов.
Значит, Ваш антивирус справился самостоятельно.
Сообщение от
Ventinaro
Ну и я смотрел логи и там какие-то подмены функций и все такое.
Что именно не понравилось?
Сердце решает кого любить... Судьба решает с кем быть...
-
-
Junior Member
- Вес репутации
- 53
Значит, Ваш антивирус справился самостоятельно
Не думаю, что это его заслуга. До того, как я прошелся по описанным в правилах шагах, он особо не справлялся.
Что именно не понравилось?
Да вот какие-то перехватчики. Може, конечно, это нормально все.
1.5 Проверка обработчиков IRP
\FileSystem\ntfs[IRP_MJ_CREATE] = 869571F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_CLOSE] = 869571F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_WRITE] = 869571F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 869571F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 869571F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_EA] = 869571F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_EA] = 869571F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 869571F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 869571F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 869571F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 869571F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 869571F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 869571F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 869571F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 869571F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_PNP] = 869571F8 -> перехватчик не определен
Так что со всем, что в резервном хранилище? Что посоветуете? Удалять?
-
Сообщение от
Ventinaro
Може, конечно, это нормально все.
Нормально...
Сообщение от
Ventinaro
Так что со всем, что в резервном хранилище? Что посоветуете? Удалять?
А что там?
Сердце решает кого любить... Судьба решает с кем быть...
-
-
Junior Member
- Вес репутации
- 53
Возможно заражен: вирус Heur.Trojan.Generic (модификация)
C:\Windows\system32\sdra64.exe
104 КБ
Заражен: потенциально опасное ПО not-a-virus:RemoteAdmin.Win32.RAdmin.22
C:\Program Files\TotalCmd\Programm\Radmin\radmin.exe
1 МБ
-
Первый зловред, но в логах его нет. Можете удалить. Второй от Radmin.
Сердце решает кого любить... Судьба решает с кем быть...
-
-
Junior Member
- Вес репутации
- 53
СПАСИБО! sdra64.exe удалил (надеюсь это было не что-нить нужное системное, но зараженное), а второе оставил. Хотя я им и не пользуюсь (проинсталлилось как условно-полезное вместе с Total Commander-ом).
Добавлено через 46 секунд
P.S. Если это Вам будет полезно, то могу дать адрес зловредного сайта.
Последний раз редактировалось Ventinaro; 15.10.2009 в 18:18.
Причина: Добавлено
-
-