Подозрение на троян

Printable View

02.11.2010, 22:10
shadow_ab

Подозрение на троян

Здравствуйте. Помогите разобраться, проблема такая:
при подключенном инете происходит отключение монитора
и полное зависание, иногда просто в простое.
02.11.2010, 22:44
V_Bond

выполните скрипт
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelCLSID('{67MAD3M8-3MAD-81AD-MAD6-78OP5G1234521}');
QuarantineFile('C:\MAD\TRACK\mad.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\sptd.sys','');
QuarantineFile('D:\temp\sfareca00001.dll','');
DeleteFile('C:\MAD\TRACK\mad.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил
повторите логи
02.11.2010, 23:01
shadow_ab

Карантин выслал, логи перезалил
03.11.2010, 14:53
thyrex

Проблема решена?
03.11.2010, 19:58
shadow_ab

[QUOTE=thyrex;727630]Проблема решена?[/QUOTE]

Большое спасибо! Пока вроде нормально. Хотя обычно это было 1-2 раза за вечер, в общем надо какое то время комп погонять.
Так Мэд был причиной?
Я его подхватил полгода назад и [U]удалил[/U]. Странно что проявился он только недавно...Видимо не совсем удалил))
06.11.2010, 10:01
shadow_ab

Один день было нормально, а вчера вечером ситуация повторилась(
Днем компьютер работает стабильно.
Видимо придется систему переустанавливать?
07.11.2010, 01:37
thyrex

Обновления для системы, вышедшие после SP3, все установлены?

Сделайте лог [url="http://virusinfo.info/showpost.php?p=457118&postcount=1"]полного сканирования МВАМ[/url]
09.11.2010, 21:40
shadow_ab

Вложений: 1

Нет, систему не обновлял.
Лог мбам прилагаю
09.11.2010, 22:15
V_Bond

удалите в mbam
[code]
Зараженные ключи в реестре:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Active Setup\Installed Components\{67mad3m8-3mad-81ad-mad6-78op5g1234521} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{3446af26-b8d7-199b-4cfc-6fd764ca5c9f} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{4776c4dc-e894-7c06-2148-5d73cef5f905} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{3446af26-b8d7-199b-4cfc-6fd764ca5c9f} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{4776c4dc-e894-7c06-2148-5d73cef5f905} (Backdoor.Bot) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{8e8e8f8a-8fcc-88ce-bcb8-b8fd8e88888a} (Malware.Packer.Gen) -> No action taken.

Зараженные параметры в реестре:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\forceclassiccontrolpanel (Hijack.ControlPanelStyle) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> No action taken.
Зараженные папки:
C:\Program Files\Common Files\wm\keys (Trojan.KeyLog) -> No action taken.
C:\WINDOWS\system32\lowsec (Stolen.data) -> No action taken.

C:\WINDOWS\system32\lowsec\user.ds (Stolen.data) -> No action taken.
C:\WINDOWS\system32\lowsec\local.ds (Stolen.data) -> No action taken.
C:\Documents and Settings\User\Application Data\avdrn.dat (Malware.Trace) -> No action taken.
C:\Program Files\Common Files\keylog.txt (Malware.Trace) -> No action taken.
C:\WINDOWS\system32\Userinitxx.exe (Trojan.Agent) -> No action taken.
[/code]
09.11.2010, 22:21
thyrex

А также

[QUOTE='shadow_ab;730016']Нет, систему не обновлял.[/QUOTE]Очень даже зря

[B]Смените все пароли[/B]
10.11.2010, 00:05
shadow_ab

Спасибо за помощь! Надеюсь все помогло).
Неужели НОД32 который у меня стоит настолько слаб, что не засек бэкдоры и т.д?:O
11.11.2010, 00:05
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]