Trojan Meredrop vs Avast

Printable View

31.05.2010, 22:41
OldBoy

Trojan Meredrop vs Avast

При серфинге по сети "выскочило" сообщение с ошибкой вида "Память не может быть read", после перезагрузки схожие сообщения стали появляться при каждом запуске Windows XP SP3, после чего происходила автоматическая перезагрузка спустя 1 минуту (запускался счётчик).
Путём долгих и муторных ковыряний было выяснено, что в ветку HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon прописалась зараза, а именно к строке C:\WINDOWS\system32\userinit.exe появилась странная добавка с непонятными ехе'шниками (которые, собственно, и есть Trojan Meredrop в версии Microsoft Security Essentials). При запуске Avast её глушил, но заодно не давал грузиться и самой системе.

Удаление файлов и записи в реестре даёт временный эффект, система работает стабильно, затем проявляются новые экзешники с теми же целями и последствиями. Прогон AVPTool к излечению предсказуемо не привёл.
31.05.2010, 23:19
V_Bond

пофиксите
[code]
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
[/code]
выполните скрипт
[code]
begin
SetAVZGuardStatus(True);
DelBHO('{AAECAA2C-1DF1-46FD-8A62-D4AA4C12134F}');
QuarantineFile('C:\WINDOWS\system32\ssqQkiHw.dll','');
DeleteFile('C:\WINDOWS\system32\ssqQkiHw.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил
повторите логи
01.06.2010, 00:22
OldBoy

[QUOTE]ssqQkiHw.dll[/QUOTE]
Скрипт выполнил, но файл в папке судя по всему просто отсутствует. В карантин он, соответственно, тоже не попал. То, что было отловлено сейчас добавлю по правилам.

UPD:
[QUOTE]Файл сохранён как 100601_002255_virus_4c041a9f6fff4.zip
Размер файла 665743
MD5 b5125baeae4debadb7a920a67b9b555e[/QUOTE]
01.06.2010, 00:39
OldBoy

Прилагаю архивы после повторного сканирования.

PS По поводу sptd.sys - установлен Daemon Tools.
02.06.2010, 13:48
AndreyKa

Выполните в AVZ скрипт [url=http://dataforce.ru/~kad/ScanVuln.txt]ScanVuln.txt[/url] и приложите сюда файл avz_log.txt из под-папки log.
Пройдитесь по ссылкам из файла avz_log.txt и установите обновления.
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
02.06.2010, 20:30
OldBoy

[B]AndreyKa[/B]
Я отвечу цитатой:
[QUOTE]Поиск критических уязвимостей
Установите Adobe Acrobat Reader 9.3 или удалите старый.
[noparse]http://ardownload.adobe.com/pub/adobe/reader/win/9.x/9.3/ru_RU/AdbeRdr930_ru_RU.exe[/noparse]
Обнаружено уязвимостей: 1
[/QUOTE]
Больше в логе ничего нет - приятно даже как-то.
02.06.2010, 20:37
AndreyKa

Достаточно и одной дыры, чтобы регулярно получать троянов.
После устранения уязвимости проблема возникала?
04.06.2010, 09:50
OldBoy

[QUOTE]После устранения уязвимости проблема возникала? [/QUOTE]
В выходные смогу сказать более определённо, но на данный момент каких-либо неполадок не замечено, в реестре полный порядок - никаких "приписок" в Userinit.
05.06.2010, 09:50
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]