-
Junior Member
- Вес репутации
- 55
Последствия Trojan.Packed?..
Доброго времени суток, товарищи!
Не так давно на компьютере появился баннер "ненормативного содержания" с требованием отправить sms. При этом некоторые программы всё же запускать можно было - тогда я подумал на программку наподобие AdWare.FieryAds. При этом DrWeb молчал.. При следующей перезагрузке компьютера этот баннер пропал и больше не появлялся. При сканировании компьютера программой AVZ(простое сканирование, без составления логов) неожиданно активизировался DrWeb, указав на файл install_flashplayer.exe(вроде бы так) в папке Temporary Download браузера Опера и иденцифицировав его, как Trojan.Packed... Файл был удалён.
После этого выяснилось, что Офисные документы(doc, xls, ppt...) стали открываться и закрываться с большой задержкой, появились некоторые "тормоза" в работе Оперы. Перпеустановка Офиса проблему не решила. Windows Update работает - система периодически обновляется. Вчерашняя попытка обновить JAVA не увенчалась успехом - по всей видимости повреждён инсталлятор. AVZ показался данный файл подозрительным и он отправил его в карантин. Думаю, карантин в этом случае высылать вам не стоит..
Просмотрел полученные логи, есть кое-какие подозрения..
Уважаемые Хелперы, просмотрите пожалуйста логи на предмет остатков того Пакера.. Заранее благодарен!
Последний раз редактировалось Hamrad; 30.06.2010 в 10:20.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
C:\WINDOWS\system32\tscupgrd.exe - пришлите согласно приложения 2 правил
-
-
Junior Member
- Вес репутации
- 55
Здравствуйте, V_Bond
Данный файлик не представляется возможным ни найти, ни, тем паче, добавить в карантин: ни AVZ, ни стандартный Виндосовский Поиск, ни попытка самостоятельно визуально найти файлик не увенчались успехом..
Кстати, маленькое дополнение..
В день появления того баннера на компьютере, таинственным образом были изменены настройки "Подключения по локальной сети": вместо получения автоматических настроек(компьютер подключён к DHCP), в свойствах подключения были прописаны статические адреса компьютера, шлюза и подсети.. Пользователь утверждает, что самостоятельно ничего не менял, т.к. ничего в этом не понимает.
Добавлено через 3 минуты
Быть может, новую партию логов составить?..
Последний раз редактировалось Hamrad; 09.04.2010 в 15:21.
Причина: Добавлено
-
-
-
Junior Member
- Вес репутации
- 55
Вот лог от MBAM:
InsD2009.exe - в логе - это установщик программы 3-НДФЛ(если что)...
Последний раз редактировалось Hamrad; 30.06.2010 в 10:20.
-
Junior Member
- Вес репутации
- 55
Уважаемые товарищи!
Не хочу показаться назойливым, но, быть может, кто-то ещё может заглянуть в мою тему..
-
- Выполните скрипт в AVZ
Код:
begin
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\Program Files\WinRAR\original\RAR Slayer v1.1.exe','');
QuarantineFile('C:\InsD2009.exe','');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
-
-
Junior Member
- Вес репутации
- 55
Большое спасибо, Polword!
Прошу прощения, что призывал на помощь, а сам пропал...
Файл InsD2009.exe AVZ поместил в карантин быстро и без проблем, а вот RAR Slayer v1.1.exe - ни в какую не хотел туда попадать.. Посему я сам создал архив quarantine.zip с требуемым паролем, поместил в него результат работы AVZ и файл RAR Slayer v1.1.exe(прследний - безо всяких изменений и дополнений). Архив выслал по уазанной ссылке. Вот результат загрузки:
Файл сохранён как 100412_011802_quarantine_4bc23c8a20e2c.zip
Размер файла 8914568
MD5 0f638492f29f6353d786a3c0a4bc72bf
Дошёл ли карантин?..
Если в логе от MBAM что-то важное, или программу можно удалять?
Спасибо!
-
В логах нет ничего подозрительного.
Сделайте следующее
Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
-
-
Junior Member
- Вес репутации
- 55
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 2
- В ходе лечения вредоносные программы в карантинах не обнаружены
-