-
Junior Member
- Вес репутации
- 53
Trojan.Siggen.4020?
После попытки подкинуть мне троян по аське, решил на всякий случай просканить систему, тем более, что при сканировании архива с тем трояном (Trojan.PWS.Qiper.origin, я его не запускал) система ушла в BSOD.
Полная проверка доктором 4.44 закончилась следующими строками в логе:
>C:\Windows\assembly\NativeImages_v2.0.50727_32\eh epgdat\6b1f3dfac186ae452e8e59583dd2cf5b\ehepgdat.n i.dll\____swmxsC:\Windows\System32\wr20815.dll инфицирован Trojan.Siggen.4020 - неизлечим - удален
>C:\Windows\System32\DriverStore\FileRepository\ms tape.inf_37b0b9c0\mstape.sys - ошибка распаковки
после чего лог обрывается - система опять ушла в BSOD.
Попытки сканирования в обычном режиме с подключенным инетом снова выводили на бсод. То же произошло при попытке проверки майкрософтовским средством удаления.
Сканы CureIt! и Kaspersky VRT в безопасном режиме ничего не показали.
Norton Security Scan&Clean, установленный в скрытом разделе восстановления ноута нашел только Доктора и возможно его повредил: после этого доктор некоторое время отправлял систему в бсод при достижении сканером конца шкалы "подготовка к сканированию", однако сейчас, после пары перезагрузок и проверок AVZ и HijackThis перестал.
ЗЫ: Текст бсода обычно Page fault in nonpaged area, один раз был стандартный IRQ not less or equal, и еще один раз какой-то третий.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
выполните скрипт
Код:
begin
QuarantineFile('C:\Windows\system32\IcnOvrly.dll','');
QuarantineFile('C:\Windows\test.bat','');
QuarantineFile('C:\Windows\System32\termsrv.dll','');
end.
пришлите карантин согласно приложения 3 правил
-
-
Junior Member
- Вес репутации
- 53
Отправил. При выполнении скрипта была ошибка:
Ошибка карантина файла, попытка прямого чтения (C:\Windows\test.bat)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\Windows\test.bat)
Карантин с использованием прямого чтения - ошибка
Визуально по этому пути такого файла и нет. Запускаю под администратором, хотя у меня и отключен UAC
Добавлено через 49 минут
Только что случился еще один бсод, без видимых причин. Возможно, доктор попытался обновиться. При ручном запуске обновления после перезагрузки (работает интегрированный DrUpdate) проблем не возникло
Последний раз редактировалось Artik; 22.10.2009 в 23:00.
Причина: Добавлено
-
Junior Member
- Вес репутации
- 53
Наверное, уже пора говорить "ап"?
-
Присланные файлы чистые.
C:\Windows\assembly\NativeImages_v2.0.50727_32\eh epgdat\6b1f3dfac186ae452e8e59583dd2cf5b\ehepgdat.n i.dll\____swmxs
C:\Windows\System32\wr20815.dll инфицирован Trojan.Siggen.4020
- явный ложняк Др.Веб. Восстановите файл из дистрибутива (Vista SP2) или с аналогичной системы.
Последний раз редактировалось Rene-gad; 25.10.2009 в 11:59.
Причина: Добавлено
-
-
Junior Member
- Вес репутации
- 53
Прошу прощения за задержку
Дистр добыть не получилось, манипуляции с диском восстановления привели к сильному повреждению системы. Переставил полностью раздел из образа (софтина от производителя по типу norton ghost, или как его). Так вот, в системе еще оставалось два винта, которые не форматировались, поэтому то, что ничего не улучшилось, объяснимо.
wr20815.dll в восстановленной системе тоже отсутствует. Это определенно что-то левое.
Сканер доктора отправляет систему в бсод в конце подготовки сканирования, как и раньше.
Наверное мне стоит по-новой сделать логи, раз ось с нуля установлена?
-
-
-
Junior Member
- Вес репутации
- 53
-
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\Windows\system32\IcnOvrly.dll','');
QuarantineFile('C:\Windows\test.bat','');
DeleteFile('C:\Windows\test.bat');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Unattend0000000001{70EB91E7-FAAB-44A4-BA19-C0A45B228BC0}');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенный карантин" над первым сообщением темы)
сделайте новые логи
-
-
Junior Member
- Вес репутации
- 53
карантин выслал, делаю логи
если где-нибудь в имеющихся логах всплывает как кейлоггер некий findkey32.exe - это все свое, родное, оно убивает запуск медиаплеера по нажатию соответствующей кнопки ноутбука.
-
Junior Member
- Вес репутации
- 53
-
Чисто
Установите SP3 + все последующие обновления безопасности
-
-
Junior Member
- Вес репутации
- 53
это виста. SP2 и все обновления - до конца.
Добавлено через 9 минут
единственное, что приходит в голову - перейти на пятого доктора, вдруг это проблема совместимости: я точно помню, что пользовался сканером 4.44 под вистой, но не уверен, пользовался ли после обновления на сп2
Последний раз редактировалось Artik; 31.10.2009 в 23:33.
Причина: Добавлено
-
Сорри, проглядел
единственное, что приходит в голову - перейти на пятого доктора
Давно пора, 4.44 целиком и полностью устарела
-
-
Junior Member
- Вес репутации
- 53
обновился, сканер вроде работает.
Правда не уверен, что правильно обновился - он не смог сразу закрыть предыдущую версию и соответственно, возможно не все заменил, но это уже моя проблема.
спасибо за помощь
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 7
- В ходе лечения вредоносные программы в карантинах не обнаружены
-