Троян или что это?

Printable View

13.08.2008, 12:24
trojandie

Вложений: 3

Троян или что это?

Сегодня меня забанило в IRC, причина "Мой компьютер заражен трояном".
Установив пробную версию kav7.0.1.325ru, проапдетив до конца, просканировав, ничего не нашел... Потом сканировал программой spybotsd160. Она нашла троян в одном ключе реестра, затем я удалил его. После сканировал последней версией trojan-remover. Тоже ничего не было найдено. Далее я заметил в корне диска C появилась папка с названием "restore_#####" И в папку System Volume Information открылся доступ, так же сегодня, в ту минуту, когда забанило в IRC, в этой папке было созданно много системных файлов. Затем я отчистил полностью папку и выключил Восстановление системы. А также заметил, что "rundll32.exe" очень долго висит в процессах... После сканировал AVZ версии 4.30, вот, что мне выдало красным:
[COLOR="Red"]moderated:::Не постите и не прикрепляйте никакие другие файлы, логи, кроме логов HijackThis и AVZ (virusinfo_syscure.zip , virusinfo_syscheck.zip), если Вас об этом не просили.[/COLOR]
C:\Windows\system32\iertutil.dll --> Подозрение на Keylogger или троянскую DLL
C:\Windows\system32\iertutil.dll>>> Поведенческий анализ
13.08.2008, 13:59
Rene-gad

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
QuarantineFile('C:\Windows\SYSTEM32\DRIVERS\RSVP.SYS','');
QuarantineFile('C:\Windows\system32\iertutil.dll','');
end.
[/CODE]
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
13.08.2008, 14:38
trojandie

Rene-gad
Залил, как ты сказал
Файл сохранён как 080813_053146_virus_48a2b812156b8.zip
Размер файла 110321
MD5 aaeeeb7239ee03237e5afa3f176f18e7
13.08.2008, 14:45
Rene-gad

Попал только один файл - и тот по вирустотал- чистый. Поищите еще этот по диску:
[CODE]RSVP.SYS[/CODE]
и пришлите тем же путем (Приложения 2 и 3 правил).
13.08.2008, 15:38
trojandie

RSVP.SYS
Не найден :(
13.08.2008, 15:46
Rene-gad

Насчет System Volume Information почитайте [URL="http://support.microsoft.com/?scid=kb%3Bru%3B309531&x=10&y=12"]тут[/URL] раздел: Программа CACLS в Windows XP Home Edition
Потом запустите ПК в минимальной конфигурации: [B]msconfig[/B], Автозапуск - Все отключить, Службы/Виндовс-Службы не показывать, остальные отключить. Перегрузиться и логи от п.10 правил - в студию.
14.08.2008, 03:09
trojandie

Вложений: 1

Сделал =)
14.08.2008, 07:40
trojandie

Да, кстати, что значат такого рода сообщения:
Функция kernel32.dll:GetProcAddress (408) их 6
и
Функция user32.dll:RegisterRawInputDevices (546)
одно.
Это не вирус хоть? )
14.08.2008, 09:46
Гриша

Хост файл сами правили?

В логах чисто...
14.08.2008, 10:03
Rene-gad

[QUOTE=trojandie;267284]Сделал =)[/QUOTE]Вы заметили, что не то сделали. Прочитайте, плиз, о чем я Вас просил 8)
22.02.2009, 07:08
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]