Показано с 1 по 16 из 16.

Trojan.Siggen.4020? (заявка № 58009)

  1. #1
    Junior Member Репутация
    Регистрация
    22.10.2009
    Сообщений
    14
    Вес репутации
    53

    Thumbs up Trojan.Siggen.4020?

    После попытки подкинуть мне троян по аське, решил на всякий случай просканить систему, тем более, что при сканировании архива с тем трояном (Trojan.PWS.Qiper.origin, я его не запускал) система ушла в BSOD.
    Полная проверка доктором 4.44 закончилась следующими строками в логе:
    >C:\Windows\assembly\NativeImages_v2.0.50727_32\eh epgdat\6b1f3dfac186ae452e8e59583dd2cf5b\ehepgdat.n i.dll\____swmxsC:\Windows\System32\wr20815.dll инфицирован Trojan.Siggen.4020 - неизлечим - удален
    >C:\Windows\System32\DriverStore\FileRepository\ms tape.inf_37b0b9c0\mstape.sys - ошибка распаковки
    после чего лог обрывается - система опять ушла в BSOD.
    Попытки сканирования в обычном режиме с подключенным инетом снова выводили на бсод. То же произошло при попытке проверки майкрософтовским средством удаления.
    Сканы CureIt! и Kaspersky VRT в безопасном режиме ничего не показали.
    Norton Security Scan&Clean, установленный в скрытом разделе восстановления ноута нашел только Доктора и возможно его повредил: после этого доктор некоторое время отправлял систему в бсод при достижении сканером конца шкалы "подготовка к сканированию", однако сейчас, после пары перезагрузок и проверок AVZ и HijackThis перестал.
    ЗЫ: Текст бсода обычно Page fault in nonpaged area, один раз был стандартный IRQ not less or equal, и еще один раз какой-то третий.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    выполните скрипт
    Код:
    begin
     QuarantineFile('C:\Windows\system32\IcnOvrly.dll','');
     QuarantineFile('C:\Windows\test.bat','');
     QuarantineFile('C:\Windows\System32\termsrv.dll','');
    end.
    пришлите карантин согласно приложения 3 правил

  4. #3
    Junior Member Репутация
    Регистрация
    22.10.2009
    Сообщений
    14
    Вес репутации
    53
    Отправил. При выполнении скрипта была ошибка:
    Ошибка карантина файла, попытка прямого чтения (C:\Windows\test.bat)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (C:\Windows\test.bat)
    Карантин с использованием прямого чтения - ошибка
    Визуально по этому пути такого файла и нет. Запускаю под администратором, хотя у меня и отключен UAC

    Добавлено через 49 минут

    Только что случился еще один бсод, без видимых причин. Возможно, доктор попытался обновиться. При ручном запуске обновления после перезагрузки (работает интегрированный DrUpdate) проблем не возникло
    Последний раз редактировалось Artik; 22.10.2009 в 23:00. Причина: Добавлено

  5. #4
    Junior Member Репутация
    Регистрация
    22.10.2009
    Сообщений
    14
    Вес репутации
    53
    Наверное, уже пора говорить "ап"?

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Присланные файлы чистые.

    C:\Windows\assembly\NativeImages_v2.0.50727_32\eh epgdat\6b1f3dfac186ae452e8e59583dd2cf5b\ehepgdat.n i.dll\____swmxs
    C:\Windows\System32\wr20815.dll инфицирован Trojan.Siggen.4020
    - явный ложняк Др.Веб. Восстановите файл из дистрибутива (Vista SP2) или с аналогичной системы.
    Последний раз редактировалось Rene-gad; 25.10.2009 в 11:59. Причина: Добавлено

  7. #6
    Junior Member Репутация
    Регистрация
    22.10.2009
    Сообщений
    14
    Вес репутации
    53
    Прошу прощения за задержку
    Дистр добыть не получилось, манипуляции с диском восстановления привели к сильному повреждению системы. Переставил полностью раздел из образа (софтина от производителя по типу norton ghost, или как его). Так вот, в системе еще оставалось два винта, которые не форматировались, поэтому то, что ничего не улучшилось, объяснимо.
    wr20815.dll в восстановленной системе тоже отсутствует. Это определенно что-то левое.
    Сканер доктора отправляет систему в бсод в конце подготовки сканирования, как и раньше.
    Наверное мне стоит по-новой сделать логи, раз ось с нуля установлена?

  8. #7
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    15.02.2009
    Сообщений
    13,205
    Вес репутации
    955
    Делайте

  9. #8
    Junior Member Репутация
    Регистрация
    22.10.2009
    Сообщений
    14
    Вес репутации
    53
    Новые логи

  10. #9
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    15.02.2009
    Сообщений
    13,205
    Вес репутации
    955
    Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
    Код:
    begin
     ClearQuarantine;
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\Windows\system32\IcnOvrly.dll','');
     QuarantineFile('C:\Windows\test.bat','');
     DeleteFile('C:\Windows\test.bat');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Unattend0000000001{70EB91E7-FAAB-44A4-BA19-C0A45B228BC0}');
     BC_ImportALL;
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенный карантин" над первым сообщением темы)

    сделайте новые логи

  11. #10
    Junior Member Репутация
    Регистрация
    22.10.2009
    Сообщений
    14
    Вес репутации
    53
    карантин выслал, делаю логи
    если где-нибудь в имеющихся логах всплывает как кейлоггер некий findkey32.exe - это все свое, родное, оно убивает запуск медиаплеера по нажатию соответствующей кнопки ноутбука.

  12. #11
    Junior Member Репутация
    Регистрация
    22.10.2009
    Сообщений
    14
    Вес репутации
    53
    новые логи

  13. #12
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    15.02.2009
    Сообщений
    13,205
    Вес репутации
    955
    Чисто
    Установите SP3 + все последующие обновления безопасности

  14. #13
    Junior Member Репутация
    Регистрация
    22.10.2009
    Сообщений
    14
    Вес репутации
    53
    это виста. SP2 и все обновления - до конца.

    Добавлено через 9 минут

    единственное, что приходит в голову - перейти на пятого доктора, вдруг это проблема совместимости: я точно помню, что пользовался сканером 4.44 под вистой, но не уверен, пользовался ли после обновления на сп2
    Последний раз редактировалось Artik; 31.10.2009 в 23:33. Причина: Добавлено

  15. #14
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    15.02.2009
    Сообщений
    13,205
    Вес репутации
    955
    это виста
    Сорри, проглядел
    единственное, что приходит в голову - перейти на пятого доктора
    Давно пора, 4.44 целиком и полностью устарела

  16. #15
    Junior Member Репутация
    Регистрация
    22.10.2009
    Сообщений
    14
    Вес репутации
    53
    обновился, сканер вроде работает.
    Правда не уверен, что правильно обновился - он не смог сразу закрыть предыдущую версию и соответственно, возможно не все заменил, но это уже моя проблема.
    спасибо за помощь

  17. #16
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 7
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) Artik, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Trojan.Spambot.origin и Trojan.Siggen.18257
      От Pinacle в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 30.01.2010, 16:33
    2. Trojan.Spambot.origin и Trojan.Siggen.18257 - пытаемся вылечить руками
      От An4xu в разделе Вредоносные программы
      Ответов: 0
      Последнее сообщение: 29.01.2010, 17:59
    3. Trojan.Inor,Trojan.Siggen.46299
      От c0mmander в разделе Помогите!
      Ответов: 20
      Последнее сообщение: 24.01.2010, 08:40
    4. Ответов: 10
      Последнее сообщение: 31.12.2009, 01:36
    5. Trojan.Siggen.66
      От Kriz в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 22.02.2009, 07:57

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01444 seconds with 19 queries