неубиваемый троян

Printable View

14.10.2007, 18:24
el coyote

Вложений: 3

неубиваемый троян

Добрый день. Позавчера, при работе в интернете выскочило сообщение от AVP, о том что с какого-то адреса *****.cn загружается троян. После этого появилось системное сообщение - "для установки этого приложения требуется китайский языковой пакет", затем - сообщение об ошибке "приложение rising752 не является win32-приложением". Ясное дело, я на китайские сайты не заходил и программ в тот момент никаких не ставил.
Экспресс - проверка системы выявила файлы вида "rising752.exe" в папке windows, зараженные trojan-psw.win32.wow.yy. Файлы я удалил. Через некоторое время опять возникло сообщение о необходимости установки китайского языкового пакета. Посмотрел в windows - там опять эти файлы. Снова стер, прошелся по системе касперким (обнаружил трояны psw.win32.wow.yy в папке восстановления системы и корзине, downloader win32.zlob - в архиве с кейгеном) и и cureit (еще один троян). Соответственно, благополучно их всех прибил.
Сегодня - опять выскочило окошко о необходимости установки языкового пакета. Касперский ничего не находит. Включил AVG - тот ничего не нашел, но в разделе analysis\autostart я заметил "пустой" пункт - т.е., просто значок длл-ки, ссылка на ветку реестра с
автозапуском и все.
В принципе, систему переставить - не проблема, но хочется найти источник этой заразы на жестком диске - чтобы потом проблема не повторилась.
Подскажите, пожалуйста, что делать.
Заранее спасибо.
14.10.2007, 18:39
V_Bond

cделайте лог [url]http://virusinfo.info/showthread.php?t=10387[/url]
14.10.2007, 18:42
el coyote

Вспомнил - месяц назад была та же проблема - просьба установить китайский языковой пакет+файлы в папке windows. Касперский\cureit ничего не нашли, поэтому я просто форматнул жесткий диск и переставил систему.
14.10.2007, 18:46
el coyote

Вложений: 1

[QUOTE=V_Bond;141980]cделайте лог [url]http://virusinfo.info/showthread.php?t=10387[/url][/QUOTE]

вот
14.10.2007, 19:07
V_Bond

пришлите отчет касперского ... (какие файлы и где удалены )
14.10.2007, 19:19
el coyote

а вот этого, к сожалению, сделать не могу - удалил его вчера, и заменил на AVP 7. А когда тот ничего не нашел - снова поставил шестую версию.
14.10.2007, 19:31
V_Bond

а это уже не хорошо ... в логах китайско следа я не заметил ...
14.10.2007, 19:41
el coyote

т.е в логах вообще ничего подозрительного?

[size="1"][color="#666686"][B][I]Добавлено через 5 минут[/I][/B][/color][/size]

а может повлиять то, что вчера я из-под другой учетной записи работал?
14.10.2007, 19:45
V_Bond

активного заражения я не вижу ...

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

[QUOTE=el coyote;142004]
а может повлиять то, что вчера я из-под другой учетной записи работал?[/QUOTE]
может ... у этой учетной записи права админа ?
сделайте лог HijackThis из под нее ...
14.10.2007, 20:01
el coyote

Вложений: 1

Изначально работал под старой админской.
Вчера вечером сделал новую.
14.10.2007, 21:03
V_Bond

нет и здесь китайского следа .... антивирус не ругается ...? если возникнут проблемы сохраните лог антивируса и прикрепите к теме ... (или зловред очень хитрый или его попросту нет) ....
14.10.2007, 23:04
el coyote

Ладно, поглядим что дальше будет..
спасибо:)
15.10.2007, 05:37
Sanja

Инфа для Helperov:
Рассказываю как было наверняка Ж)

Запустился trojan-downloader
начал качать вирус.
КАВ6 Веб-антивирус это дело просек и заблокировал обрезав последний "пакет данных" вирусного файла.

Затем Trojan-Downloader попытался запустить скачанное. Тогда то вы и увидели ошибку приложения т.к файл скачался битым (из за того что его погрыз Веб-антивиус).

Удален файл небыл т.к видимо доступ к нему быз заблокиован Trojan-Downloaderom.

Следовательно активного заражения не произошло.