Похоже поймал заразу через plugin Adobe Acrobat.
Кое что почистил (bjoj.pko в атозапуске и system32), но неопознанная сетевая активность осталась.
Printable View
Похоже поймал заразу через plugin Adobe Acrobat.
Кое что почистил (bjoj.pko в атозапуске и system32), но неопознанная сетевая активность осталась.
Прилагаю логи.
Дополнительно:
В папке \WINDOWS\ появился hlktmp без расширения нулевой длины.
Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\Reg\Pentax_Win_GM_12062004.exe','');
TerminateProcessByName('\Device\HarddiskVolume1\Temp\dc70469964\raj7nxp.exe');
QuarantineFile('\Device\HarddiskVolume1\Temp\dc70469964\raj7nxp.exe','');
DeleteFile('\Device\HarddiskVolume1\Temp\dc70469964\raj7nxp.exe');
TerminateProcessByName('\Device\HarddiskVolume1\Temp\dc70469964\r7b3f4.exe');
QuarantineFile('\Device\HarddiskVolume1\Temp\dc70469964\r7b3f4.exe','');
DeleteFile('\Device\HarddiskVolume1\Temp\dc70469964\r7b3f4.exe');
QuarantineFile('C:\WINDOWS\system32\SiteAccess.dll','');
DeleteFile('C:\WINDOWS\system32\SiteAccess.dll');
QuarantineFile('C:\WINDOWS\System32\Drivers\sfc.SYS','');
DeleteFile('C:\WINDOWS\System32\Drivers\sfc.SYS');
QuarantineFile('C:\WINDOWS\System32\sfcfiles.dll','');
RenameFile('C:\WINDOWS\System32\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.bak');
CopyFile('C:\WINDOWS\System32\dllcache\sfcfiles.dll','C:\WINDOWS\System32\sfcfiles.dll');
DeleteFile('C:\WINDOWS\System32\sfcfiles.bak');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(16);
RebootWindows(true);
end. [/code]Компьютер перезагрузится.
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Сделайте новые логи
Карантин послал.
Новые логи прилагаю.
PS. Для информации - создал в безопасном режиме в C:\Windows\ файл hlktmp со статусом ReadOnly
Плохого не увидел. Проблема решена?
В карантин попал только C:\WINDOWS\System32\sfcfiles.dll - [B]Trojan.Win32.Patched.fr[/B]
Пока непонятно - видимых проявлений нет, кроме сетевой активности.
Но это могут быть входящие "хвосты" от торрентов.
Посмотрю поподробнее каким-нибудь анализатором, если что - отпишусь.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]13[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\sfcfiles.dll - [B]Trojan.Win32.Patched.fr[/B] ( AVAST4: Win32:Patched-KP [Trj] )[/LIST][/LIST]