-
Junior Member
- Вес репутации
- 54
Два трояна Symantec:WS.Reputation.1
Инструкция по адресу"0х3f187654"обратилась к памяти по адресу"0х0306375с".Память не может быть"Read".
После этого заявления система виснет.Работает только диспетчер задач.
В системе два трояна, один по адресу: C:\Documents and Settings\Администратор\Local Settings\Application Data\Thinstall\Cache\Stubs\92e2e951ff7a7c74cdb9c86 8be6d782ee5fe5 зовут его:Cance|Autoplay.exe
второй по адресу:C:\Program Files\System\CPL Bonus зовут:Hoster.exe
Вот проверка на вирустотал:
BitDefender 7.2 2010.11.29 Trojan.Generic.5009601
CAT-QuickHeal 11.00 2010.11.29 Trojan.Agent.ATV
Command 5.2.11.5 2010.11.29 W32/MalwareS.APAP
Comodo 6884 2010.11.29 Heur.Packed.Unknown
F-Prot 4.6.2.117 2010.11.28 W32/MalwareS.APAP
F-Secure 9.0.16160.0 2010.11.29 Trojan.Generic.5009601
GData 21 2010.11.29 Trojan.Generic.5009601
Jiangmin 13.0.900 2010.11.29 Backdoor/Bifrose.bth
K7AntiVirus 9.69.3103 2010.11.27 Riskware
nProtect 2010-11-29.01 2010.11.29 Backdoor/W32.Poison.28672.HB
Rising 22.75.06.00 2010.11.29 Packer.Win32.UnkPacker.b
Sophos 4.60.0 2010.11.29 -
SUPERAntiSpyware 4.40.0.1006 2010.11.29 Trojan.Agent/Gen-Backdoor
Symantec 20101.2.0.161 2010.11.29 WS.Reputation.1
VirusBuster 13.6.64.0 2010.11.28 Trojan.MalwareS!nh2yD2kEb60
Additional information
Show all
MD5 : 8bf5637eef2abd06962df39d43ae1eff
SHA1 : 092e2e9501ff7a7c74cd0b9c868be6d782ee5fe5
SHA256: 25f12da373943d5559d0145813420c8bec26eeac1ddcf0190a c3bb58793af0b2
ssdeep: 192:pj0SLiv8S/NWIDnfCQtNdyNzJxRSQRHDISRST5nzW9:pm8wW+trcSQRHDISR ST5z+
File size : 28672 bytes
First seen: 2009-08-07 05:27:39
Last seen : 2010-11-29 12:29:50
Magic: PE32 executable for MS Windows (GUI) Intel 80386 32-bit
и......................второй:
Avast 4.8.1351.0 2010.09.30 Win32:MalOb-CA
Avast5 5.0.594.0 2010.09.30 Win32:MalOb-CA
GData 21 2010.10.01 Win32:MalOb-CA
Symantec 20101.2.0.161 2010.10.01 WS.Reputation.1
Курелт от вэба их не видит,мой аваст тоже.В архиве avz есть файл virusinfo-cure.zip
Могу затереть вручную,но глюки с explorer.exe любого выведут из равновесия. Помогите.
Последний раз редактировалось alex-2; 01.03.2011 в 19:53.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Junior Member
- Вес репутации
- 54
Не дождавшись ответа удалил троянов,попутно нашл sms sender.
Что делать с virusinfo-cure.zip? Выпустить назад?!
-
Junior Member
- Вес репутации
- 54
В журнале событий приложений такая запись: Ошибка---Не удалось открыть службу сервера.Данные производительности сервера не будут возвращены. В данных находится возвращённый код ошибки- в DWORD 0.
и предупреждение:реестр пользователя был сохранен в то время, как приложение или служба продолжали использоватьего во время выхода из системы.Используемая реестром память не была освобождена.Реестр будет выгружен,когда он будет использоваться. Попробуйте изменить настройку служб и задать их выполнение с учетными записями LocaslService или NETVORKService.
Это как? И какое из этих сообщений нужно принять в расчёт по данной ситуации?
AVZ троянов не увидел.Это не значит ,что система чистая,но также не значит,что сбой даёт какая то программа.На компе стоит SteadyState.Она даёт возможность сохраняться ошибкам в журнале ошибок при работающей защите диска?
-
Junior Member
- Вес репутации
- 54
Что означает маленькая приписка "удалить" в конце этой записи сделанной avz virusinfo_syscheck.zip ?
C:\WINDOWS\System32\hidserv.dll
Скрипт: Kарантин, Удалить, Удалить через BC Активен Ключ реестра HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\HidServ\Paramete rs, ServiceDll
Удалить
Подозрительные объектыФайл Описание Тип
C:\WINDOWS\System32\DRIVERS\cmdguard.sys
Скрипт: Kарантин, Удалить, Удалить через BC Подозрение на RootKit Перехватчик KernelMode
C:\WINDOWS\System32\Drivers\aswSP.SYS
Скрипт: Kарантин, Удалить, Удалить через BC Подозрение на RootKit Перехватчик KernelMode
\SystemRoot\System32\Drivers\aswSP.SYS
Скрипт: Kарантин, Удалить, Удалить через BC Подозрение на RootKit Перехватчик KernelMode
Удалить?
Проверил логи.Чисто.
Я прав?
Последний раз редактировалось alex-2; 20.12.2010 в 21:43.