Помогите, поймал свежего трояна!

Printable View

01.02.2008, 15:26
SGray

Помогите, поймал свежего трояна!

поймал троянца, который детектируется каспером как: Trojan-Downloader.Win32.Agent.hlt 25,4 КБ

как я понимаю этот троян состоит из двух частей - одну (которая прячется в системном каталоге) каспер ловит, вторую, резидентную он не находит :(

Симптомы: перестали запусаться программы типа консультанта и т.д., при их запуске в реестр прописывается гадость типа:
Файл C:\WINDOWS\SYSTEM32\DRIVERS\GOU17.SYS
, причем, даже в ветке safeboot. Проверялся всеми антивирусами: нод, антивир, касперский и т.д. - безрезультатно :(

AVZ при исследовании системы находит вирусный файл, например, GOU17.SYS и удаляет его и запись в реестре, но вскоре появляется другой. И так до бесконечности.
01.02.2008, 15:29
Bratez

Давайте логи, разберемся.
[url]http://virusinfo.info/showthread.php?t=1235[/url]
01.02.2008, 15:40
SGray

Вложений: 3

вот логи...
01.02.2008, 15:46
Bratez

Два антивируса да еще Ad-aware - это круто ;)

Ничего активно-зловредного не видно.

Выполните скрипт в AVZ:
[code]
begin
BC_DeleteSvc('catchme');
BC_DeleteSvc('Tbh74');
BC_Activate;
RebootWindows(true);
end.[/code]
Сделайте новый лог syscheck (п.10 правил).
01.02.2008, 23:45
SGray

[quote=Bratez;181219]Два антивируса да еще Ad-aware - это круто ;)

Ничего активно-зловредного не видно.

Выполните скрипт в AVZ:
[code]
begin
BC_DeleteSvc('catchme');
BC_DeleteSvc('Tbh74');
BC_Activate;
RebootWindows(true);
end.[/code]Сделайте новый лог syscheck (п.10 правил).[/quote]

В том-то и дело, что ничего подозрительного не видно, а вири появляются :>
Ждем до понедельника... надо перерыв в битве устроить:D
04.02.2008, 11:35
SGray

Сегодняшними 6-утрашними базами антивирусом касперского было обнаружено 53 зараженных файла :
вирус Virus.Win32.Diehard.a c:\program files\1cv77\bin\1cv7.exe 344 КБ

скрипт на всяк пожарный выполнил, syscheck выложу :)
04.02.2008, 12:01
SGray

Вложений: 1

вот свежий syslog
04.02.2008, 14:12
Bratez

[quote=SGray;182504]Сегодняшними 6-утрашними базами антивирусом касперского было обнаружено 53 зараженных файла :
вирус Virus.Win32.Diehard.a[/quote]
Файловый вирус. Надеюсь, сделали [b]полную[/b] проверку и все зараженные вылечили? В логе опять ничего кроме следа от удаленного руткита, уже с другим именем. Выполните скрипт:
[code]
begin
BC_DeleteSvc('Tag74');
BC_Activate;
RebootWindows(true);
end.[/code]
Лог syscheck сделайте снова.
04.02.2008, 18:26
SGray

>Файловый вирус. Надеюсь, сделали [B]полную[/B] проверку и все зараженные вылечили?

Конечно! Проверка длится до сих пор, думаю утра закончится :)

>В логе опять ничего кроме следа от удаленного руткита, уже с другим именем.

а вот это странно :O

завтра продолжу лечение :)