-
Вложений: 3
MBR Троян ?
Комп начал тормозить. Удалил все временные папки, кэш эксплорера, куки.
НОД32 выловлил модифицированный Win32/TrojanDownloader.Wigon.O.
При проверке avz обнаружил перехваты - в составе модулей пространства ядра присутствует sys-файл вида [B]s???.sys[/B] (после каждой загрузки с разным именем)без путей в имени и без описания.
RegRun Partizan периодически находит при загрузке sys файлы с произвольными именами и местоположениями, физически на диске отсутствующие.
FIXMBR на троян впечатления не произел (при загрузке все по прежнему).
После одного из запусков FIXMBR НОД32 неожиданно поймал модифцированный Win32/TrojanDropper.Agent.NJY (точно раньше не было).
Логи прилагаю.
Буду признателен за помощь.
-
Отключите антивирус!
[URL="http://virusinfo.info/showthread.php?t=4491"]
Пофиксить[/URL]
[CODE]F2 - REG:system.ini: Shell=C:\WINDOWS\explorer.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{03EBFD1B-CEA7-4129-B861-0FA53A11C254}: NameServer = 85.255.116.123,85.255.112.219
O17 - HKLM\System\CCS\Services\Tcpip\..\{087823F8-8ED2-461F-BF27-0F38FAD18631}: NameServer = 85.255.116.123,85.255.112.219
O17 - HKLM\System\CCS\Services\Tcpip\..\{1A472F3A-A498-4853-89AE-A4B8FE01D1D7}: NameServer = 85.255.116.123,85.255.112.219
O17 - HKLM\System\CCS\Services\Tcpip\..\{5166C5F6-9B7A-4BC8-A54B-0F8CC4E6693A}: NameServer = 85.255.116.123,85.255.112.219
O17 - HKLM\System\CCS\Services\Tcpip\..\{C08A0EFE-E69A-489B-8DEF-A60413C34455}: NameServer = 85.255.116.123,85.255.112.219
O17 - HKLM\System\CCS\Services\Tcpip\..\{C47BF426-0BF6-423C-B542-CF9627524939}: NameServer = 85.255.116.123,85.255.112.219
O17 - HKLM\System\CCS\Services\Tcpip\..\{E0D81AD2-B769-44EB-B6A8-D20644F42085}: NameServer = 85.255.116.123,85.255.112.219
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.123 85.255.112.219
O17 - HKLM\System\CS1\Services\Tcpip\..\{03EBFD1B-CEA7-4129-B861-0FA53A11C254}: NameServer = 85.255.116.123,85.255.112.219
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.123 85.255.112.219
O17 - HKLM\System\CS2\Services\Tcpip\..\{03EBFD1B-CEA7-4129-B861-0FA53A11C254}: NameServer = 85.255.116.123,85.255.112.219
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.123 85.255.112.219[/CODE]
[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\kdlzm.exe ',' ');
DeleteFile('kdlzm.exe');
DeleteFile('C:\WINDOWS\system32\kdlzm.exe ');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(8);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке:[url]http://virusinfo.info/upload_virus.php?tid=23977[/url]
Ядро и MBR это разные вещи,ваш руткит sp??-эмулятор дисков:)
Повторите логи.
-
Вложений: 3
Все пофиксил,
скрипты прошли успешно,
карантин отправил,
логи прилагаю...
[quote=Гриша;236028]
Ядро и MBR это разные вещи,ваш руткит sp??-эмулятор дисков:)
[/quote]
А чего тогда ведёт себя по свински... :)
-
Итог лечения
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]6[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\kdlzm.exe - [B]Trojan.Win32.Monder.gen[/B] (DrWEB: Trojan.Virtumod.based.14)[/LIST][/LIST]
Page generated in 0.01463 seconds with 10 queries