подозрение на троян

Printable View

29.09.2009, 11:09
omicrobe

подозрение на троян

доброго дня!
собственно, переодически пропадает vpn-соединение и звук в медиа-проигрывателях. после перезагрузки системы все работает, но только некоторое время, и снова всё по кругу.
ОС - Windows XP SP2, кажется стала притормаживать. антивирус - Avira Security Suite, молчит.

проверка CureIt в безопасном режиме выдает BSOD
AVZ постоянно обнаруживает зараженные файлы trojan.win32.vaklik.ftu в директории Windows

проблема ?
29.09.2009, 14:31
AndreyKa

Сделайте лог [url=http://virusinfo.info/showpost.php?p=351873&postcount=1]Gmer[/url].
Выполните в AVZ скрипт из файла [url=http://df.ru/~kad/ScanVuln.txt]ScanVuln.txt[/url] и приложите к этой теме файл c:\avz_log.txt
29.09.2009, 17:47
omicrobe

спасибо за отклик
29.09.2009, 18:08
omicrobe

антивирус Avira проснулся, начал ругаться на папку C:\WINDOWS\system32\x, сообщая что там спрятался WORM/Conficker.J
ругается на *.jpg\*.png HEUR/Crypted.E

[size="1"][color="#666686"][B][I]Добавлено через 10 минут[/I][/B][/color][/size]

такое чувство, что оперативная память забивается, и все процессы в системе начинают в разы больше занимать место в памяти чем обычно. все это грузит цп на 100%, спасает только перезагрузка
29.09.2009, 19:29
AndreyKa

Закройте все программы. Запустите AVZ. Выполните скрипт через меню Файл:
[code]
begin
SetAVZGuardStatus(True);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
QuarantineFile('C:\WINDOWS\system32\rtebtjcy.dll','');
DeleteFile('C:\WINDOWS\system32\rtebtjcy.dll');
RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\uowyqpds');
SetServiceStart('uowyqpds', 4);
RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Services\uowyqpds');
RegKeyResetSecurity('HKLM', 'SYSTEM\ControlSet003\Services\uowyqpds');
RegKeyDel('HKLM', 'SYSTEM\ControlSet003\Services\uowyqpds');
BC_ImportDeletedList;
BC_Activate;
RebootWindows(true);
end.
[/code]
Компьютер перезагрузится.
Пришлите файлы из карантина AVZ (см. приложение 3 Правил), используя ссылку [color=red][b][u]Прислать запрошенный карантин[/u][/b][/color], вверху этой темы.
Сделайте новый лог Gmer.

Обновления безопасности на Windows надо устанавливать. Лучше начать с [url=http://www.microsoft.com/downloads/details.aspx?displaylang=ru&FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4]Service Pack 3[/url] (может потребоваться активация).
30.09.2009, 01:12
omicrobe

Вложений: 1

папка Quarantine пуста. создана, но в ней нет файлов
это нормально ?
30.09.2009, 02:09
AndreyKa

Значит, вредоносные файлы уже были удалены.
В логе чисто, но если обновления не установить, то это не надолго.
30.09.2009, 02:52
omicrobe

обновление установил, но проблемы это не разрешило. все по-прежнему, падает соединение, пропадает звук с ошибкой что установлен плохой драйвер DirectSound

AVZ ругается на: D:\System Volume Information\_restore{0052D271-4E22-420F-8994-92B177C1AE81}\RP27\A0064203.dll >>> подозрение на Trojan-PSW.Win32.Agent.tq
30.09.2009, 08:06
light59

[URL="http://www.microsoft.com/downloads/details.aspx?displaylang=ru&FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4"]Установите Service Pack 3[/URL] (может потребоваться активация) + последующие обновления.

[QUOTE='omicrobe;476718']AVZ ругается на: D:\System Volume Information\_restore{0052D271-4E22-420F-8994-92B177C1AE81}\RP27\A0064203.dll >>> подозрение на Trojan-PSW.Win32.Agent.tq [/QUOTE]
А восстановление системы нужно было отключать. Выключите его и включите заново, если оно вам нужно.
30.09.2009, 11:25
omicrobe

SP3 установил, активация не потребовалась.
восстановление системы у меня было отключено.

System Volume Information, как я понимаю, системная папка, куда ОС заносит временные файлы ?
имеется на двух разделах моего диска, но не в одну из них нельзя зайти, просмотреть содержимое и удалить ее тоже нельзя.

утренняя проверка AVZ подвертила нахождение в вышеуказанной папке зловреда
30.09.2009, 11:29
Гриша

[QUOTE]System Volume Information, как я понимаю, системная папка, куда ОС заносит временные файлы ?[/QUOTE]

[URL="http://wiki.drweb.com/index.php/%D0%9F%D0%B0%D0%BF%D0%BA%D0%B0_%28%D0%BA%D0%B0%D1%82%D0%B0%D0%BB%D0%BE%D0%B3%29_%22System_Volume_Information%22"]System Volume Information[/URL]
30.09.2009, 11:35
omicrobe

спасибо.
советуете все так и оставить ? пусть AVZ ругается ?

восстановление системы было отключено у меня с самого начала установки ОС
30.09.2009, 12:01
AndreyKa

[QUOTE='omicrobe;476881']восстановление системы было отключено у меня с самого начала установки ОС [/QUOTE]Раньше уже была система на этом диске?
Раз, восстановление системы отключено, то папка [B]System Volume Information [/B]не нужна.
30.09.2009, 12:06
omicrobe

нет, системы на диске D раньше не было установлено.
понимаю что не нужна, но я уже писал выше, что удалить ее не могу.