Показано с 1 по 7 из 7.

Сетевая активность - похоже зараза через Acrobat plugin (заявка № 59998)

  1. #1
    Junior Member Репутация
    Регистрация
    17.07.2008
    Сообщений
    31
    Вес репутации
    31

    Thumbs up Сетевая активность - похоже зараза через Acrobat plugin

    Похоже поймал заразу через plugin Adobe Acrobat.
    Кое что почистил (bjoj.pko в атозапуске и system32), но неопознанная сетевая активность осталась.
    Последний раз редактировалось Sosna; 11.11.2009 в 22:16.

  2. Реклама
     

  3. #2
    Junior Member Репутация
    Регистрация
    17.07.2008
    Сообщений
    31
    Вес репутации
    31
    Прилагаю логи.

    Дополнительно:
    В папке \WINDOWS\ появился hlktmp без расширения нулевой длины.
    Вложения Вложения
    Последний раз редактировалось Sosna; 11.11.2009 в 22:30.

  4. #3
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,576
    Вес репутации
    2916
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('D:\Reg\Pentax_Win_GM_12062004.exe','');
     TerminateProcessByName('\Device\HarddiskVolume1\Temp\dc70469964\raj7nxp.exe');
     QuarantineFile('\Device\HarddiskVolume1\Temp\dc70469964\raj7nxp.exe','');
     DeleteFile('\Device\HarddiskVolume1\Temp\dc70469964\raj7nxp.exe');
    TerminateProcessByName('\Device\HarddiskVolume1\Temp\dc70469964\r7b3f4.exe');
     QuarantineFile('\Device\HarddiskVolume1\Temp\dc70469964\r7b3f4.exe','');
     DeleteFile('\Device\HarddiskVolume1\Temp\dc70469964\r7b3f4.exe');
    QuarantineFile('C:\WINDOWS\system32\SiteAccess.dll','');
    DeleteFile('C:\WINDOWS\system32\SiteAccess.dll');
     QuarantineFile('C:\WINDOWS\System32\Drivers\sfc.SYS','');
     DeleteFile('C:\WINDOWS\System32\Drivers\sfc.SYS');
    QuarantineFile('C:\WINDOWS\System32\sfcfiles.dll','');
     RenameFile('C:\WINDOWS\System32\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.bak');
     CopyFile('C:\WINDOWS\System32\dllcache\sfcfiles.dll','C:\WINDOWS\System32\sfcfiles.dll');
    DeleteFile('C:\WINDOWS\System32\sfcfiles.bak');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    ExecuteRepair(16);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  5. #4
    Junior Member Репутация
    Регистрация
    17.07.2008
    Сообщений
    31
    Вес репутации
    31
    Карантин послал.
    Новые логи прилагаю.

    PS. Для информации - создал в безопасном режиме в C:\Windows\ файл hlktmp со статусом ReadOnly
    Вложения Вложения

  6. #5
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,576
    Вес репутации
    2916
    Плохого не увидел. Проблема решена?

    В карантин попал только C:\WINDOWS\System32\sfcfiles.dll - Trojan.Win32.Patched.fr
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  7. #6
    Junior Member Репутация
    Регистрация
    17.07.2008
    Сообщений
    31
    Вес репутации
    31
    Пока непонятно - видимых проявлений нет, кроме сетевой активности.
    Но это могут быть входящие "хвосты" от торрентов.
    Посмотрю поподробнее каким-нибудь анализатором, если что - отпишусь.

  8. #7
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,549
    Вес репутации
    941

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 13
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\windows\system32\sfcfiles.dll - Trojan.Win32.Patched.fr ( AVAST4: Win32:Patched-KP [Trj] )


  • Уважаемый(ая) Sosna, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Похоже завелась сетевая зараза
      От Flash05 в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 04.07.2012, 19:41
    2. Сетевая активность
      От 7serafim7 в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 28.05.2012, 16:43
    3. Сетевая зараза
      От delfin_ в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 12.09.2011, 03:11
    4. Сетевая активность.
      От Vedmedya в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 03.01.2010, 15:50
    5. Сетевая активность
      От Георгий в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 24.12.2006, 16:51

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00548 seconds with 21 queries