Троян восстанавливается

Printable View

08.08.2009, 19:30
crazyfrogspb

Вложений: 3

Троян восстанавливается

Здравствуйте! На ноутбуке давно не обновлял базы Нортон Антивируса, и в один прекрасный день ноут оказался заражён по уши. Как выяснилось, это буйствовал Sality, который я с помощью интернета и CureIt, записанным на диск, кажется, победил. Контрольная проверка выявила заражённый dll-файл (опознаётся как trojan.packed.365), находящийся в папке систем32, его утилита успешно удалила. Но при каждой перезагрузке он появляется заново, источник восстановления обнаружить не могу. Прикладываю логи ПОСЛЕ лечения, если нужно могу перезагрузиться и переделать их. Заранее спасибо.
08.08.2009, 19:57
thyrex

[QUOTE]Внимание !!! База поcледний раз обновлялась 08.02.2009 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)[/QUOTE]Так дело не пойдет. Обновить базы AVZ и переделать логи
Что за dll-ка воскресает как птица Феникс?
08.08.2009, 22:27
crazyfrogspb

Вложений: 2

Базы обновил, логи прикладываю. Имя файла - msqpdxvtfrmujx.dll
08.08.2009, 23:27
thyrex

Включите AVZPM и сделайте новый лог virusinfo_syscure.zip

Также сделать лог [URL="http://virusinfo.info/showthread.php?t=40118"]gmer[/URL]
09.08.2009, 00:34
crazyfrogspb

Вложений: 2

Gmer выдал предупреждение и нашёл sys-файл с подозрительно похожим названием, но мне его обнаружить в указанной директории не удалось, прикладываю логи.
Trojan Remover, который я ставил для борьбы с салити, после перезагрузки запустил свой фастскан и обнаружил ещё какой-то троян с расположением C:\WINDOWS\system32\Drivers\uteyodgx.sys
09.08.2009, 00:52
thyrex

C:\WINDOWS\system32\Drivers\uteyodgx.sys - драйвер AVZ

Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe
[CODE]gmer.exe -del service msqpdxserv.sys
gmer.exe -del file "C:\WINDOWS\system32\drivers\msqpdxguyruxjc.sys"
gmer.exe -reboot[/CODE]И запустите cleanup.bat
Компьютер перезагрузится

Сделать новый лог gmer
09.08.2009, 01:26
crazyfrogspb

Вложений: 1

Батник выполнил, Gmer всё равно выдаёт предупреждение, правда теперь только одно, о сервисе. Но симптомов уже не осталось, КуреИт никаких следов трояна, вроде бы, не находит, так что в любом случае спасибо за помощь:)
Лог гмера прикладываю.
09.08.2009, 11:02
thyrex

Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe
[CODE]gmer.exe -del service msqpdxserv.sys
gmer.exe -del file "c:\windows\system32\drivers\msqpdxserv.sys"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\msqpdxserv.sys"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\msqpdxserv.sys"
gmer.exe -reboot[/CODE]И запустите cleanup.bat
Компьютер перезагрузится

Сделать новый лог gmer
09.08.2009, 13:50
crazyfrogspb

Вложений: 1

Большое спасибо, следов трояна в логе нет, на всякий случай прикладываю.
09.08.2009, 13:58
Rene-gad

В логах ничего подозрительного.
- Установите Сервис Пак 3 - возможно потребуется активация, и все последующие важные патчи.
Перед установкой Сервис Пака необходимо выгрузить [B][COLOR="Red"]все защитные приложения[/COLOR][/B] (антивирус, файрвол а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
- Установите IE 8
- Обновите JavaRE
- Обновите Acrobat Reader
09.08.2009, 14:03
crazyfrogspb

Спасибо за советы, сделаю, как только будет безлимитный доступ в интернет.
А может и вовсе линукс поставлю, проблемы с троянами отпадут)